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内 容 简 介 


网 络 安全 是 计算 机 和 通信 和 领域 很 重要 的 研究 方向 ,而 网 络 安全 控制 机 制 是 网 络 安全 的 基本 保障 ,是 网 
络 安全 中 的 重要 研究 内 容 。 本 书 分 为 5 章 ,第 1 章 是 访问 控制 机 制 ,讲述 了 访问 控制 的 最 新 进展 ,并 讨论 
了 移动 通信 和 可 信和 网 络 环境 下 的 访问 控制 技术 。 第 2 章 是 认证 机 制 , 介 绍 AAA 服务 器 的 认证 原理 及 其 在 
无 线 网 络 中 的 应 用 ,然后 介绍 多 级 安全 域 的 认证 模型 ,最 后 讨论 了 移动 网 络 中 的 可 以 容忍 DoS 攻击 的 认证 
模型 。 第 3 章 是 数字 签名 机 制 ,介绍 数字 签名 中 的 公 钥 密码 体制 和 椭圆 曲线 密码 体制 ,并 讨论 了 基于 椭圆 
曲线 的 群体 导向 的 签名 方案 。 第 4 章 是 密 钥 管 理 机 制 , 概 述 了 基本 的 组 密 钥 分 发 机 制 , 讨 论 了 自 僵 的 组 密 
钥 分 发 协议 和 基于 时 限 的 组 密 钥 分 发 机 制 ,并 阐述 了 无 线 传感器 网 络 中 的 密 钥 管理 。 第 5 章 是 基于 应 用 
层 组 播 的 视频 安全 机 制 , 介 绍 流 媒体 与 应 用 层 组 播 , 数 字 水 印 技术 以 及 视频 加 密 技术 ,并 详细 描述 了 一 个 
视频 安全 组 播 协 议 , 讨 论 了 视频 流传 输 过 程 中 的 差错 控制 。 

本 书 全 面 、 系 统 地 展示 了 网 络 安 全 控制 机 制 的 研究 内 容 和 最 新 成 果 , 具 有 完整 性 、 实 用 性 和 学 术 性 。 
非常 适合 我 国 计 算 机 网 络 和 通信 和 领域 的 教学 .科研 工作 和 工程 应 用 参考 。 既 可 以 供 计 算 机 、 通 信 、 电 子 、 信 
息 等 相关 专业 的 研究 生 和 大 学 高 年 级 学 生 作 为 教材 或 教学 参考 书 , 也 可 以 供 计算 机 网 络 研究 开发 人 员 、 网 
络 运 营 商 等 网 络 工程 技术 人 员 人 参考 。 
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一 《人 
FOREWORD H I 


背景 

随 着 传感器 .嵌入 式 设备 消费 电子 等 设施 的 大 量 接 人 ,互联 网 络 在 规模 和 应 用 领域 上 
日 益 得 到 拓展 ,网 络 的 规模 仍 在 继续 扩大 ,网络 在 国民 经 济 生活 中 的 基础 性 和 全 局 性 作用 日 
益 增强 。 尽 管 互联 网 已 经 转变 并 大 大 改善 了 人 类 社会 的 经 济 和 生活 方式 ,但 同时 也 不 得 不 
面临 大 量 的 网 络 安全 问题 ,如 恶意 攻击 垃圾 邮件 ,计算 机 病毒 ,不 健康 资讯 等 。 尽 管 信息 网 
络 的 安全 研究 已 经 持续 多 年 ,但 对 网 络 攻击 和 破坏 行为 的 对 抗 效 果 并 不 理想 ,仍然 面临 着 严 
峻 的 挑战 。 

网 络 安全 是 计算 机 和 通信 和 领域 重要 的 研究 内 容 , 而 对 网 络 安全 控制 机 制 的 研究 是 保障 
网 络 安全 的 基本 技术 。 国 际 标准 化 组 织 (ISO) 在 网 络 安全 标准 ISO 7498—2 中 定义 了 5 种 
层次 型 安全 服务 : 身份 认证 服务 、 访 问 控制 服务 、 数 据 保密 服务 、 数 据 完整 性 服务 和 不 可 否 
认 服 务 。 其 中 ,访问 控制 是 信息 安全 的 一 个 重要 组 成 部 分 , 它 作 为 系统 安全 的 关键 技术 , 既 
是 一 个 老生 常 谈 的 内 容 又 面临 着 新 的 挑战 。 随 着 网 络 技术 的 发 展 ,访问 控制 技术 也 将 作为 
网 络 安全 的 一 个 重要 方面 日 益 受 到 更 多 人 的 关注 。 授 权 和 认证 是 访问 控制 的 基础 ,正确 的 
授权 实际 上 依赖 于 认证 。 如 何 保证 用 户 身份 的 真实 性 和 合法 性 ,如 何 正确 授权 用 户 的 权限 ， 
是 访问 控制 和 认证 机 制 中 重要 的 研究 内 容 。 

虽然 使 用 数据 加 密 、 访 问 控制 等 多 项 技术 可 以 对 数据 通信 时 的 保密 性 和 完整 性 予以 保 
证 ,然而 仅仅 有 这 些 还 是 不 够 的 ,特别 是 近年 来 , 随 着 电子 商务 的 发 展 , 人 们 通过 通信 网 络 进 
行 迅 速 的 、 远 距离 的 贸易 ,数字 或 电子 签名 也 应 运 而 生 , 并 开始 用 于 商业 通信 系统 。 这 些 都 
要 求 根 据 不 同 的 情况 设计 出 适合 特定 情况 的 安全 而 有 效 的 数字 签名 ,以 适应 飞速 发 展 的 网 
络 环境 下 的 安全 需要 。 因 此 ,数字 签名 也 是 网 络 安全 机 制 中 一 项 重要 内 容 , 其 中 基于 椭圆 曲 
线 的 数字 签名 方案 成 为 热点 研究 内 容 。 

此 外 , 随 着 移动 通信 和 数字 服务 的 兴起 ,无 论 是 Internet、 无 线 传感器 网 络 , 还 是 移动 
网 络 和 流 媒体 服务 ,都 对 安全 组 通信 协议 的 设计 带 来 了 颇 多 挑战 ,如 开放 设计 的 Internet, 
易 受 入 侵 和 非法 攻击 的 移动 网 络 、 不 可 靠 的 无 线 传感器 网 络 \、 流 媒体 系统 的 视频 安全 等 
因素 。 这 使 得 组 通信 的 应 用 将 变 得 更 加 普遍 ,同时 也 对 安全 的 组 通信 协议 设计 提出 了 许 
多 新 的 并 需 臣 待 解决 的 课题 。 因 此 ,有 必要 对 组 密 钥 管理 进行 研究 ,解决 组 通信 中 的 安 
全 问题 。 

作者 在 网 络 安 全 领域 进行 了 一 系列 深入 而 系统 的 研究 工作 ,本 书 主要 对 网 络 安全 机 制 
中 的 访问 控制 .身份 认证 数字 签名 、 密 钥 管 理 和 视频 安全 技术 进行 全 面 、 深 入 的 阐述 , 书 中 
绝 大 部 分 内 容 取 材 于 我 们 近期 在 国际 、 国 内 一 流 学 术 期 刊 发 表 的 论文 , 全 面 、 系 统 地 展示 了 
很 多 新 的 研究 成 果 和 进展 。 
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组 织 结构 


本 书 主要 对 5 种 网 络 安全 控制 机 制 加 以 介绍 ,在 结构 上 分 为 5 章 : 

第 1 章 是 访问 控制 机 制 ,首先 概述 了 访问 控制 的 发 展 过 程 ,并 对 典型 的 访问 控制 模型 进 
行 了 介绍 ,如 自主 访问 控制 ,强制 访问 控制 和 基于 角色 的 访问 控制 模型 。 然 后 基于 Petri 网 
对 强制 访问 控制 模型 进行 了 安全 性 分 析 。 针 对 移动 网 络 的 特点 ,提出 了 支持 移动 IPv6 的 访 
问 控制 模型 ,介绍 方案 的 实现 及 其 扩展 。 最 后 ,对 可 信和 网 络 中 的 访问 控制 进行 研究 ,根据 可 
信和 网 络 中 用 户 行为 的 可 信和 模型 ,讨论 了 基于 可 信和 信誉 的 访问 控制 机 制 。 

第 2 章 是 认证 机 制 ,首先 介绍 RADIUS 协议 和 AAA 服务 器 的 认证 原理 以 及 AAA 在 
无 线 网 络 中 的 应 用 。 然 后 针对 大 型 ,复杂 的 网 络 系 统 中 存在 着 一 系列 相互 信任 或 不 相互 信 
任 的 安全 自治 网 络 域 ,介绍 多 级 安全 域 的 认证 模型 ,并 用 人 逻辑 理论 对 安全 域 认证 模型 进行 形 
式 化 描述 。 最 后 讨论 了 移动 网 络 中 的 可 以 抵制 DoS 攻击 的 认证 模型 ,通过 性 能 和 安全 分 
HT ,证 明 该 模型 能 够 满足 移动 网 络 中 安全 性 和 可 靠 性 的 需求 ,并 能 抵制 DoS 攻击 , 极 大 地 提 
高 了 认证 协议 的 安全 性 。 

第 3 章 是 数字 签名 机 制 ,首先 介绍 公 钥 密码 体制 ,对 数字 签名 中 的 几 个 典型 的 机 制 进行 
阐述 ,如 RSA.ElGamal.Schnorr 和 DSS 数字 签名 机 制 。 然 后 详细 介绍 椭圆 曲线 密 钥 体制 ， 
基于 椭圆 曲线 提出 了 群体 导向 的 数字 签名 方案 ,并 对 其 进行 安全 分 析 和 性 能 分 析 。 

第 4 童 是 密 钥 管理 机 制 ,首先 概述 了 组 密 钥 分 发 机 制 研究 现状 ,对 集中 式 、 分 散 式 和 分 
布 式 组 通信 密 钥 管理 进行 介绍 。 然 后 详细 分 析 了 基本 的 组 密 钥 分 发 协议 ,并 给 出 其 安全 性 
分 析 。 提 出 了 一 个 自 愈 的 组 密 钥 分 发 协议 ,并 在 此 基础 上 讨论 了 基于 时 限 用 户 撤 销 机 制 的 
和 白 愈 组 密 钥 分 发 协议 ,给 出 了 协议 的 具体 应 用 和 改进 方案 。 最 后 ,对 无 线 传感器 网 络 中 的 密 
钥 管 理 进 行 了 阐述 和 分 析 , 介 绍 几 个 典型 的 密 钥 管理 方案 和 协议 ,对 其 进行 了 综合 分 析 ,并 
给 出 了 需要 解决 的 研究 问题 。 

第 5 章 是 基于 应 用 层 组 播 的 视频 安全 机 制 ,介绍 流 媒体 与 应 用 层 组 播 . 数 字 水 印 技术 及 
视频 加 密 技 术 ,并 提出 了 一 个 媒体 相关 的 视频 安全 组 播 协议 MSMP ,详细 介绍 用 户 加 入 和 
退出 机 制 , 并 对 其 可 靠 性 和 扩展 性 进行 分 析 。 最 后 讨论 了 视频 流传 输 过 程 中 的 差错 控制 机 
制 以 及 无 线 网 络 中 多 层 非 对 等 保护 的 动态 优化 组 包 策略 。 


本 书 特 点 与 读者 对 象 


本 书 具 有 以 下 鲜明 特色 。 

(1) 完整 性 : 内 容 丰 富 全 面 ,结构 合理 ,体系 完整 ,将 网 络 安全 控制 机 制 的 5 个 方面 , 即 
访问 控制 ,认证 ,数字 签名 、 密 钥 管 理 和 视频 安全 机 制 ,进行 全 面 和 系统 的 介绍 。 

(2) 实用 性 : 结合 当前 网 络 环境 的 特点 ,将 网 络 安全 控制 机 制 应 用 于 可 信和 网 络 、 移 动 网 
络 和 传感器 网 络 ,给 出 具体 的 应 用 实例 ,具有 很 强 的 实用 性 。 

(3) 学 术 性 : 本 书 具 有 一 定 的 理论 高 度 和 学 术 价值 , 书 中 绝 大 部 分 内 容 取材 于 作者 近 
期 在 国际 、 国 内 一 流 学 术 期 刊 发 表 的 论文 ,全面 展示 了 大 量 网 络 安 全 方面 最 新 的 科研 成 果 ， 
具有 很 高 的 学 术 参 考 价值 。 

本 书 非常 适合 我 国 计 算 机 网 络 和 通信 和 领域 的 教学 、 科 研 工 作 和 工程 应 用 参考 。 既 可 以 
供 计 算 机 通信、 电子 信息 等 相关 专业 的 研究 生 和 大 学 高 年 级 学 生 作为 教材 或 教学 参考 书 ， 


= 
m 


也 可 以 供 计 算 机 网 络 研究 开发 人 员 、 网 络 运营 商 等 网 络 工程 技术 人 员 参 考 。 
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访问 控制 


访问 控制 技术 起 源 于 20 世纪 70 年 代 , 当 时 是 为 了 满足 管理 大 型 主机 系统 上 共享 数据 
授权 访问 的 需要 。 但 随 着 计算 机 技术 和 应 用 的 发 展 ,特别 是 网 络 应 用 的 发 展 ,这 一 技术 的 思 
想 和 方法 迅速 应 用 于 信息 系统 的 各 个 领域 。 在 30 多 年 的 发 展 过 程 中 ,先后 出 现 了 多 种 重要 
的 访问 控制 技术 ,如 自主 访问 控制 (discretionary access control. DAC) 强制 访问 控制 
(mandatory access control, MAC) 和 基于 角色 的 访问 控制 (role-based access control, 
RBAC) ,它们 的 基本 目标 都 是 防止 非法 用 户 进入 系统 和 合法 用 户 对 系统 资源 的 非法 使 用 。 
访问 控制 技术 作为 实现 安全 操作 系统 的 核心 技术 ,是 系统 安全 的 一 个 解决 方案 ,是 保证 信息 
机 密 性 和 完整 性 的 关键 技术 ,对 访问 控制 的 研究 已 成 为 计算 机 科学 的 研究 热点 之 一 。 

本 章 对 不 同 网 络 环境 下 的 访问 控制 进行 研究 ,给 出 了 针对 不 同 网 络 的 访问 控制 模型 。 
首先 概述 了 访问 控制 的 基本 目标 发展 过 程 、. 分 类 及 其 研究 趋势 ,然后 基于 着 色 Petri 网 对 
强制 访问 控制 进行 形式 化 描述 和 安全 分 析 。 针 对 移动 通信 网络 ,给 出 了 支持 层次 移动 IPv6 
的 访问 控制 方案 。 最 后 ,研究 下 一 代 网 络 发 展 的 必然 趋势 , 即 可 信 网 络 下 的 访问 控制 及 其 实 
现 机 制 。 


1.1 访问 控制 概述 


国际 标准 化 组 织 (ISO) 在 网 络 安全 标准 ISO 7498 一 2 中 定义 了 5 种 层次 型 安全 服务 : 
身份 认证 服务 .访问 控制 服务 .数据 保密 服务 .数据 完整 性 服务 和 不 可 否认 服务 。 其 中 访问 
控制 是 信息 安全 的 一 个 重要 组 成 部 分 ,作为 系统 安全 的 关键 技术 ,访问 控制 是 一 个 老生 常 谈 
的 内 容 同 时 又 面临 着 新 的 挑战 。 随 着 网 络 技术 的 发 展 , 访 问 控制 技术 也 将 作为 网 络 安全 的 
一 个 重要 方面 日 益 受 到 更 多 人 的 关注 。 授 权 和 认证 是 访问 控制 的 基础 ,正确 的 授权 实际 上 
依赖 于 认证 。 认 证 是 决定 一 个 用 户 的 身份 是 否 合法 的 过 程 。 授 权 决 定 一 个 用 户 是 否 有 权 访 
问 系 统 资源 。 一 个 信息 系统 必须 维护 一 些 用 户 ID 和 系统 资源 之 间 的 关系 ,建立 一 个 授权 用 
户 被 允许 访问 的 资源 列表 。 访 问 控制 技术 不 仅 包括 授权 和 认证 ,还 可 以 有 很 多 其 他 形式 ,如 
智能 卡 、 密 钥 锁 .生物 信息 识别 (如 指纹 、 视 网 膜 或 人 脸 ) 等 。 


网 络 安全 控制 机 制 


1.1.1 访问 控制 基本 概念 


任何 访问 控制 模型 都 会 用 到 用 户 (user) .主体 (subject) 客体 (object) TE (operation) 
和 权限 (permission) 的 概念 ,下 面 对 这 几 个 概念 进行 简单 的 介绍 。 

用 户 : 被 授权 使 用 计算 机 的 人 员 。 一 个 用 户 可 能 有 多 个 ID ,而 这 些 ID 可 能 被 同时 激 
活 。 一 个 用 户 的 会 话 实 例 称 为 会 话 (session) 。 

主体 : 可 以 被 其 他 实体 施加 动作 的 主动 实体 。 主 体 可 以 是 用 户 或 其 他 任何 代理 用 户 行 
为 的 实体 (如 进程 .作业 和 程序 )。 一 个 用 户 可 以 有 多 个 主体 ,即使 该 用 户 只 有 一 个 会 话 。 

客体 : 接受 其 他 实体 动作 的 被 动 实体 。 客 体 可 以 是 一 个 可 识别 的 资源 ,一 个 客体 可 以 
包含 另 一 个 客体 。 一 个 实体 可 以 在 某 一 时 刻 是 主体 ,而 在 另 一 时 刻 是 客体 ,这 取决 于 该 实体 
的 功能 是 动作 的 执行 者 还 是 被 执行 者 。 

操作 : 由 主体 激发 的 主动 进程 。 每 个 访问 控制 模型 都 与 信息 流 相 关 , 但 是 基于 角色 的 
访问 控制 要 求 主体 和 操作 区 别 开 来 。 

权限 : 在 受 系统 保护 的 客体 上 执行 某 一 操作 的 许可 。 在 客体 上 能 够 执行 的 操作 通常 与 
系统 的 类 型 有 关 , 权 限 是 客体 和 操作 的 联合 。 两 个 不 同 客体 上 的 相同 操作 代表 着 两 个 不 同 
的 权限 ,单个 客体 上 的 两 个 不 同 操作 代表 着 两 个 不 同 的 权限 。 

此 外 ,最 小 特权 (least privilege) 原 则 是 系统 安全 中 最 基本 的 原则 之 一 。 所 谓 最 小 特 
权 原 则 是 指 : 用 户 所 拥有 的 权力 不 能 超过 他 执行 工作 时 所 需 的 权限 , 即 每 个 主体 (用 户 和 
进程 ) 完 成 某 种 操作 时 必 不 可 少 的 特权 。 只 给 予 主体 “ 必 不 可 少 ?的 特权 ,一 方面 保证 所 
有 的 主体 都 能 在 所 赋予 的 特权 之 下 完成 所 需要 完成 的 任务 和 操作 ; 另 一 方面 ,限制 了 每 
个 主体 所 能 进行 的 操作 。 最 小 特权 原则 在 保持 完整 性 方面 起 着 重要 的 作用 ,实现 最 小 权 
限 原 则 , 需 分 清 用户 的 工作 内 容 ,确定 执行 该 项 工作 的 最 小 权限 集 , 然 后 将 用 户 限制 在 这 
些 权限 范围 之 内 。 在 基于 角色 的 访问 控制 中 ,只 有 和 角色 需要 执行 的 操作 才 授 权 给 角色 。 
当 一 个 主体 要 访问 某 个 资源 时 ,如 果 该 操作 不 在 主体 当前 活跃 角色 的 授权 操作 之 内 , 则 
该 访问 将 被 拒绝 。 

坚持 最 小 特权 原则 要 求 用 户 在 不 同 的 时 间 拥 有 不 同 的 权限 级 别 ,这 依赖 于 所 执行 的 任 
务 或 功能 。 在 某 些 环境 和 权限 下 ,不 必要 的 权限 有 可 能 会 增加 用 户 的 额外 负担 ,因此 必须 限 
制 权限 。 然 而 过 多 的 权限 有 可 能 会 泄露 信息 ,因此 为 了 保证 系统 的 机 密 性 和 完整 性 ,必须 避 
免 赋 予 多 余 的 权限 。 


1.1.2 访问 控制 目标 


访问 控制 只 是 系统 安全 的 一 个 解决 方案 ,为 了 更 好 地 理解 访问 控制 的 目标 ,有 必要 了 解 
信息 系统 的 风险 。 信 息 系 统 的 安全 风险 可 分 为 3 类 : 机 密 性 完整 性 和 有 效 性 , 记 为 
CIA, 

VL TE (confidentiality): 保持 信息 的 安全 和 私有 ,防止 信息 泄露 给 未 授权 的 用 户 ; 

完整 性 (integrity) : 防止 信息 被 非法 用 户 自 改 或 破坏 ; 

可 用 性 (availability) : 保障 授权 用 户 对 系统 信息 的 可 访问 性 。 


第 1 章 访问 控制 


访问 控制 是 保证 信息 机 密 性 和 完整 性 的 关键 技术 。 机 密 性 要 求 只 有 授权 的 用 户 可 以 读 
取信 息 。 一 般 来 说 ,系统 中 的 某 些 信息 是 非常 重要 的 ,如 军事 上 的 某 些 数据 ,公司 的 财务 信 
息 及 个 人 的 账户 信息 等 ,这 些 信息 都 对 机 密 性 要 求 较 高 。 完 整 性 要 求 只 有 授权 的 用 户 可 以 
在 授权 的 方式 下 修改 信息 ,是 为 了 维护 系统 资源 处 于 一 个 有 效 的 、 预 期 的 状态 ,防止 资源 被 
不 正确 不 适当 地 修改 ,或 维护 系统 不 同 部 分 的 数据 一 致 性 。 访 问 控制 并 不 能 完全 保证 可 用 
性 , 它 的 作用 是 , 当 一 个 非法 的 攻击 者 试图 访问 系统 时 ,有 可 能 会 受到 阻止 。 


1.1.3 访问 控制 发 展 过程 


从 1960 年 起 安全 问题 就 引起 了 人 们 的 关注 ,最早 由 Lampson 中 提出 了 访问 控制 的 形式 
化 机 制 描述 ,引入 了 主体 、 客 体 和 访问 矩阵 的 概念 。 对 访问 控制 模型 的 研究 ,从 早期 的 20 世 
纪 六 七 十 年 代 至 今 ,大 致 经 历 了 以 下 4 个 阶段 : 

1. 20 世纪 六 七 十 年 代 应 用 于 大 型 主机 系统 中 的 访问 控制 模型 , 较 典 型 的 是 Bell- 
Lapadula 模型 四 (简称 BLP 模型 ) 和 HRU 模型 中 。 

(1) Bell-Lapadula 模型 

Bell-Lapadula 模型 ,简称 BLP 模型 ,由 Bell 和 Lapadula 将 军队 访问 控制 规则 融入 数学 
模型 ,定义 推理 计算 机 系统 的 安全 性 。 该 模型 指出 ,进程 是 整个 计算 机 系统 的 一 个 主体 , 它 
需要 通过 一 定 的 安全 等 级 来 对 客体 发 生 作 用 。 进 程 在 一 定 条 件 下 可 以 对 诸如 文件 ,数据库 
等 客体 进行 操作 。 其 安全 规则 指出 ,用 户 仅 能 访问 安全 级 等 于 或 低 于 用 户 安全 级 的 那些 信 
息 。 这 是 一 个 简单 的 策略 ,容易 被 人 理解 ,但 是 在 计算 机 系统 上 实现 这 个 策略 则 是 很 困难 
的 。 无 法 预料 的 系统 漏洞 和 系统 中 不 同 组 件 的 交互 ,使 得 计算 机 系统 具有 安全 脆弱 性 。 在 
该 模型 中 ,计算 机 系统 中 的 实体 被 分 成 抽象 的 对 象 。 安 全 状态 得 到 了 详细 的 说 明 ,而且 通过 
从 一 个 安全 状态 转 到 另 一 个 安全 状态 的 方式 来 证 明 状态 转移 过 程 仍 然 是 安全 的 ,进而 归纳 
证 明了 该 系统 是 安全 的 。 

BLP 模型 有 两 个 基本 的 规则 : 简单 安全 规则 和 * -特性 ,通常 称 为 “不 上 读 ” 和 “不 下 
写 ”。 简 单 安 全 规则 指出 : 实体 不 能 读 取 安 全 级 别 高 于 它 的 对 象 , 即 实体 的 安全 级 别 必 须 大 
于 等 于 对 象 的 安全 级 别 。* -特性 ( 星 特性 ) 指 出 : 如 果 对 对 象 执行 写 操作 ,实体 的 安全 级 别 
必须 小 于 等 于 对 象 的 安全 级 别 。 

read; SL(Entity)>SL(Obj) 简单 安全 规则 
write: SLCEntity) SSL(Obj) * -特性 
其 中 ,SL 表示 实体 或 对 象 的 安全 级 别 。 

BLP 模型 的 核心 思想 是 在 系统 中 设置 多 个 安全 等 级 (如 普通 、 秘 密 、 机 密 和 绝密 ) ,并 
要 求 系统 中 的 所 有 存 取 操作 必须 遵守 模型 给 出 的 保护 信息 安全 的 规则 ,以 此 实现 强制 存 
取 控 制 ,防止 具有 高 安全 级 别 的 信息 流入 低 安全 级 别 的 客体 。BLP 模型 不 能 直接 用 于 商 
业 系 统 , 主 要 应 用 于 军事 系统 。 虽 然 BLP 模型 为 通用 的 计算 机 系统 定义 了 安全 属性 , 且 
这 种 模型 比较 容易 实现 ,但 “不 上 读 ” 和 “不 下 写 ” 的 规则 忽略 了 完整 性 ,而 使 非法 越权 自 
改 成 为 可 能 。 

BLP 模型 已 成 为 计算 机 安全 基础 的 研究 对 象 , 该 模型 的 发 展 影响 了 许多 其 他 模型 的 发 
展 ,甚至 很 大 程度 上 影响 了 计算 机 安全 技术 的 发 展 ,并 渗透 到 计算 机 安全 建 模 的 所 有 策略 ， 
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它 是 第 一 个 将 实际 系统 的 属性 转化 为 规则 的 属性 模型 。 在 BLP 模型 的 基础 上 ,形成 了 很 多 
标准 ,其 中 包括 美国 国防 部 的 可 信 计 算 机 评估 标准 。 尽 管 该 模型 存在 很 多 争议 ,但 是 它 促进 
了 计算 机 安全 基础 领域 的 进一步 研究 。 

虽然 BLP 安全 模型 控制 了 对 信息 的 写 操作 ,保护 了 系统 的 机 密 性 ,但 是 多 级 安全 策略 
并 没有 阻止 对 信息 的 非法 修改 。 因 此 在 BLP 安全 模型 之 后 ,用 户 很 快 认识 到 需要 这 样 一 种 
模型 : 能 够 阻止 高 安全 级 的 进程 读 取 低 安全 级 的 信息 ,而 且 进 程 不 被 低 安全 级 的 信息 所 
影响 。 

Biba 完整 性 模型 中 是 1977 年 提出 的 ,是 BLP 模型 的 副本 。BLP 模型 着 重 系 统 的 机 
密 性 ,而 Biba 完整 性 模型 则 着 重 保 证 对 象 的 完整 性 。Biba 模型 将 主体 和 客体 按照 强制 访 
问 控制 系统 进行 分 类 ,这 种 分 类 方法 一 般 应 用 于 军事 用 途 。 数 据 和 用 户 被 划分 为 5 个 安 
全 等 级 : 公开 (unclassified) Z RR (restricted) , f 4 (confidential) 、 机 密 (secret) 和 绝密 (top 
secret), Biba 完整 性 模型 确保 实体 只 能 向 安全 级 别 比 它 低 的 对 象 写 信息 ,避免 了 在 BLP 
模块 中 易 发 生 的 一 种 情况 : 安全 级 别 高 的 实体 可 能 故意 破坏 安全 级 别 低 的 对 象 ,并 且 实 
体 可 以 从 安全 级 别 比 它 高 的 对 象 中 读 取 信息 。 因 为 该 模块 只 需要 保证 完整 性 , 它 是 从 
完整 性 等 级 的 方面 被 描述 的 ,而 不 是 从 安全 性 或 敏感 性 等 级 方面 。 这些 规 则 可 以 总 
结 为 : 

write: IL(Entity) 三 ILCObj) 简单 完整 性 规则 
read; ILCEntity &«ILCObj) — * -特性 

Biba 模型 基于 两 种 规则 来 保障 数据 的 完整 性 和 保密 性 : 

下 读 (no-read-up): 主体 不 能 读 取 安 全 级 别 低 于 它 的 数据 ; 

上 写 (no-write-down): 主体 不 能 写 入 安全 级 别 高 于 它 的 数据 。 

Biba 模型 并 没有 被 用 来 设计 安全 操作 系统 ,因为 Biba 模块 中 的 所 有 模块 可 以 读 任意 级 
别 比 它 高 的 对 象 ,可 以 发 送信 息 给 级 别 比 它 低 的 对 象 ,这 可 能 造成 实体 泄露 高 级 别 对 象 的 内 
容 , 在 一 定 程度 上 忽视 了 保密 性 。 但 大 多 数 完整 性 保障 机 制 都 是 基于 Biba 模型 的 两 个 基本 
属性 构建 的 。 

(2) HRU 模型 

1976 年 Harrison, Ruzzo fll Ullman 提出 HRU 模型 中 ,提供 了 更 改 访问 权限 的 策略 和 
创建 以 及 删除 主题 和 对 象 的 权限 ,并 指出 用 传统 的 访问 矩阵 并 不 能 保证 系统 的 安全 性 , 即 安 
全 需要 是 安全 的 并 不 能 说 明 系统 的 配置 是 安全 的 。 用 户 可 以 放弃 访问 权限 ,也 可 以 授权 给 
其 他 用 户 ,其 他 用 户 又 可 以 授权 给 另外 的 用 户 , 因 此 当权 限 一 级 级 地 被 传递 时 ,系统 无 法 保 
证 非 授 权 的 用 户 不 会 非法 得 到 访问 权限 。 

2. 美国 国防 部 在 1985 年 公布 的 可 信 计 算 机 安全 评价 标准 (TCSEC) 中 中 明确 提出 了 访 
问 控制 在 计算 机 安全 系统 中 的 重要 作用 ,并 指出 一 般 的 访问 控制 机 制 有 两 种 : 自主 访问 控 
制 (DAC) 和 强制 访问 控制 (MAC)。 目 前 DAC 和 MAC 被 应 用 在 很 多 领域 ,关于 DAC 和 
MAC 的 相关 内 容 将 在 1. 1.4 节 中 介绍 。 

3. 从 1992 年 最 早 的 RBAC 模型 , 即 Ferraiolo-Kuhn 模型 中 的 提出 ,到 Sandhu 等 人 对 
RBAC 模型 的 研究 ,先后 提出 了 RBAC96™ , ARBAC97"! , ARBAC99™ t 99, — EL HI) 2001 
年 的 NIST RBAC 标准 Do 。 

Ferraiolo-Kuhn 模型 将 现 有 的 面向 应 用 的 方法 应 用 到 RBAC 模型 中 ,是 基于 角色 的 访 
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问 控制 (RBAC) 最 初 的 形式 化 描述 . 它 对 主体 -角色 活动 (subject-role activation) .主体 -客体 
(subject-object) 关 系 、 用 户 - 角 色 (user-role) 关 系 和 角色 和 集 活 动 (role-set activation) 进 行 了 
描述 。 有 以 下 3 个 基本 规则 : 

规则 1 角色 分 配 (role assignment): 当 一 个 主体 被 分 配 了 一 个 角色 时 ,该 主体 才能 执 
行 一 个 事务 。 身 份 认证 过 程 并 不 是 一 个 事务 ,而 系统 中 用 户 的 其 他 行为 都 是 通过 事务 完成 
的 ,因此 ,活动 用 户 需要 有 一 些 活动 角色 。 

规则 2 角色 授权 (role authorization) : 一 个 主体 的 活动 角色 必须 授予 该 主体 。 由 规则 
1, 这 条 规则 保证 了 用 户 只 能 执行 被 授权 的 角色 。 

规则 3 事务 授权 (transaction authorization); 当 一 个 事务 被 授予 一 个 主体 的 活动 角 
色 时 ,该 主体 才能 执行 该 事务 。 由 规则 1 和 规则 2, 该 规则 保证 了 用 户 只 能 执行 被 授予 的 
事务 。 

RBAC 模型 的 正式 描述 见 表 1. 1. 1, 其 特点 是 所 有 访问 都 是 通过 角色 来 实现 的 。 一 个 
角色 实质 上 是 权限 的 集合 ,所 有 用 户 通过 分 配 的 角色 来 接受 权限 。 角 色 是 相对 稳定 的 ,而 用 
户 和 权限 则 可 能 变化 很 快 ,通过 角色 对 访问 进行 控制 简化 了 管理 。RBAC 关系 图 如 
图 1.1.1 所 示 。 

表 1.1.1 Ferraiolo 对 RBAC 的 形式 化 描述 


RBAC 的 形式 化 描述 

活动 角色 :AR(s: subjecO — UM s 的 当前 活动 角色 } 
角色 授权 :RA(s: subject) 二 {系统 授 给 主体 :的 角色 } 
事务 授权 :TA(r: role) 二 {系统 授 给 角色 的 事务 } 


exec(s: subject./: tran) ^ true 当 且 仅 当 主体 有 权 执 行事 务 7 ,否则 为 false 
角色 分 配 : V s: subject.¢: tran * exec(s.t)>AR() FD 
角色 授权 : Vs: subjecte AR(s)CRA(s) 


图 1.1.1 RBAC 关系 图 


多 数 计算 机 系统 的 访问 控制 是 通过 访问 控制 表 (access control list，ACL) 来 实现 的 ,所 
以 系统 资源 ,如 文件 .打印 机 和 终端 ,都 有 一 个 授权 用 户 列表 ,这 样 很 容易 回答 “哪些 用 户 可 
以 访问 客体 X”, 但 是 却 很 难 回答 “用 户 X 能 够 访问 哪些 客体 ”。 后 者 的 回答 需要 扫描 系统 
中 数 以 百 万 计 的 客体 并 记录 访问 控制 列表 ,而 这 个 过 程 在 实际 的 系统 中 可 能 会 需要 一 天 的 
时 间 。 这 个 机 制 的 特点 是 : ACL 可 以 很 容易 地 给 客体 增加 权限 ,但 很 难 激 发 一 个 用 户 的 所 
有 权限 。 

在 一 些 系统 中 ,用 户 被 分 为 组 , 称 为 实体 (entry) RBAC 和 组 的 概念 有 些 相似 ,组 是 用 
户 的 集合 而 不 是 权限 的 集合 ,权限 是 与 用 户 和 用 户 所 属 的 组 相关 联 的 ,如 图 1.1.2 所 示 。 由 
于 用 户 通过 UIDCuser ID) & GIDCroup ID) 来 访问 客体 ,因此 , 当 组 权限 从 客体 上 撤销 时 ， 
一 旦 权限 被 激活 ,用 户 可 能 重新 获得 访问 权限 。RBAC 要 求 通过 角色 进行 访问 加 强 了 系统 
的 安全 性 。 
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Coes) Crows D dép 


图 1.1.2 组 访问 控制 关系 图 


Ferraiolo-Kuhn 模型 的 第 2 个 重要 特点 是 角色 是 分 等 级 的 : 角色 能 够 从 其 他 角色 中 继 
承 权 限 。 此 外 ,该 模型 包含 了 Clark-Wilson EU?" 。 此 后 NIST RBAC 参考 模型 对 角色 进 
行 了 详细 的 研究 ,在 用 户 和 访问 权限 之 间 引 入 了 角色 的 概念 ,为 RBAC 模型 提供 了 参考 。 
关于 NIST RBAC 模型 将 在 1. 1.4 节 中 加 以 介绍 。 

4. 此 后 ,对 访问 控制 模型 的 研究 扩展 到 更 多 的 领域 ,比较 有 代表 性 的 有 : 应 用 于 工作 
流 系 统 或 分 布 式 系统 中 的 基于 任务 的 授权 控制 模型 (TBAC)03 ,基于 任务 和 角色 的 访问 控 
制 模型 (T-RBAC)D3 ,以 及 被 称 作 下 一 代 访 问 控制 模型 的 使 用 控制 (usage control, UCON) 
Big ,也 称 ABC 模型 59 。UCON 模型 不 仅 包含 了 DAC. MAC 和 RBAC, 而 且 还 包含 
了 数字 版 权 管理 (DRM) 、 信 任 管理 等 ,涵盖 了 现代 商务 和 信息 系统 需求 中 的 安全 和 隐私 这 
两 个 重要 的 问题 ,因此 ,UCON 模型 为 研究 下 一 代 访 问 控制 提供 了 一 种 新 方法 ,被 称 作 下 一 
代 访 问 控制 模型 。 


1.1.4 访问 控制 分 类 


访问 控制 策略 是 面向 应 用 的 ,可 以 跨越 多 个 计算 平台 ,可 以 基于 最 小 特权 、 权 能 、 认 证 、 
责任 或 利益 冲突 。 访 问 控 制 策略 往往 是 动态 变化 的 ,是 随 着 商业 因素 ,政府 规则 和 环境 条 件 
的 变化 而 发 生变 化 的 ,而 策略 需求 在 系统 设计 时 是 无 法 完全 确定 的 ,因此 系统 必须 按照 不 断 
变化 的 策略 加 以 设计 。 目 前 一 般 的 访问 控制 策略 有 3 种 : 自主 访问 控制 (DAC) 强制 访问 
控制 (MAC) 和 基于 角色 的 访问 控制 CRBAC) 。 
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自主 访问 控制 (DAC) 是 一 种 最 普遍 的 访问 控制 安全 策略 ,最 早出 现在 20 世纪 70 年 代 
初期 的 分 时 系统 中 ,基本 思想 伴随 着 访问 矩阵 被 提出 ,在 UNIX 类 操作 系统 中 被 广泛 使 用 。 
DAC 主要 是 为 多 用 户 的 数据 库 系统 设计 的 ,系统 用 户 改 变 较 少 ,并 且 所 有 的 资源 都 由 一 个 
实体 来 控制 ,通过 用 户 身份 或 用 户 所 属 的 组 对 客体 的 访问 进行 限制 ,具有 主动 访问 资源 的 用 
户 和 主体 有 能 力 将 信息 传递 给 另 一 个 主体 。DAC 的 核心 思想 是 主体 的 拥有 者 通常 是 它 的 
建立 者 ,可 以 主动 授权 给 其 他 人 访问 该 主体 , 故 DAC 又 称 为 基于 主体 的 访问 控制 。 


1. DAC 实现 

DAC 是 目前 计算 机 系统 中 实现 最 多 的 访问 控制 机 制 。 它 的 实现 方法 一 般 是 建立 系统 访 
问 控制 矩阵 ,矩阵 的 行 对 应 系统 的 主体 , 列 对 应 系统 的 客体 ,元 素 表 示 主 体 对 客体 的 访问 权限 。 
为 了 提高 系统 性 能 ,在 实际 应 用 中 常常 是 建立 基于 行 ( 主 体 ) 或 列 ( 客 体 ) 的 访问 控制 方法 。 基 
于 行 的 方法 是 在 每 个 主体 上 都 附加 一 个 该 主体 可 以 访问 的 客体 的 明细 表 ,. 有 3 种 实现 形式 : 
权能 表 、 前 缀 表 和 口令 。 基 于 列 的 自主 访问 控制 是 对 每 个 客体 附加 一 个 可 访问 它 的 主体 的 明 
细 表 ,有 两 种 实现 形式 : 访问 控制 表 (ACL) 和 保护 位 ,其 中 使 用 最 多 的 是 访问 控制 表 。 
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CD 访问 控制 表 (ACL) 

ACL 可 以 决定 任意 一 个 主体 是 否 能 够 访问 该 客体 , 它 是 通过 在 客体 上 附加 一 个 主体 明 
细 表 的 方法 来 表示 访问 控制 矩阵 。 表 中 的 每 一 项 包括 主体 的 身份 和 对 客体 的 访问 权 。 
ACL 是 实现 自主 访问 控制 的 最 好 的 方法 。 访 问 控制 系统 通过 检测 ACL 来 决定 访问 是 被 授 
权 或 拒绝 。 表 1.1. 2 是 一 个 访问 控制 矩阵 , 表 1.1.3 是 表 1.1.2 相应 的 ACL 


表 1.1.2 访问 控制 矩阵 表 1.1.3 对 应 表 1.1.2 的 ACL 
客 体 客体 
主体 File 1 File 2 File 3 File 1 | Chris: Read, Write Bob; Read 
Chris Read. Write Write File 2 | Frank; Execute 
Frank Execute File 3 | Chris; Write Bob; Read 
Bob Read Read 


ACL 的 一 个 优点 是 可 以 很 容易 地 看 到 用 户 对 客体 的 访问 及 操作 ,而且 通过 简单 地 删除 
ACL 实体 就 可 以 取消 对 客体 的 访问 ,这 些 特点 使 ACL 成 为 实现 面向 对 象 的 DAC 策略 的 理 
想 方 法 ;ACL 的 另 一 个 优点 是 ,如 果 组 中 的 用 户 有 相同 的 访问 权限 , 则 在 组 后 附加 客体 , 代 
替 组 中 的 所 有 成 员 ,这 样 使 ACL 不 必 很 长 。 

(2) 权能 表 (capabilities list) 

权能 表决 定 用 户 是 否 可 以 对 客体 进行 访问 以 及 进行 何 种 形式 的 访问 ( 读 、 写 、 改 、 执 行 
等 )。 一 个 拥有 某 种 权力 的 主体 可 以 按 一 定 方式 访问 客体 ,并 且 在 进程 运行 期 间 访问 权限 可 
以 添加 或 删除 。 使 用 权能 表 实现 的 访问 控制 系统 
可 以 很 方便 地 查询 某 一 个 主体 的 所 有 访问 权限 ， 表 1.1.4 对 应 表 1.1.2 的 权能 表 
只 需要 遍历 这 个 主体 的 权能 表 即 可 ,然而 要 查询 主体 | 
对 某 一 个 客体 具有 访问 权限 的 主体 的 信息 是 很 困 
难 的 ,必须 查询 系统 中 所 有 主体 的 权能 表 。 此 外 ， 
对 权能 表 的 检查 很 难 撤销 某 主体 对 客体 的 访问 ， 
这 使 得 权能 表 在 商业 上 使 用 并 不 是 很 普遍 。 Bo | Eel: Read File 3+ Read 
表 1.1.4 是 对 应 表 1.1.2 的 权能 表 。 

20 世纪 70 年 代 很 多 操作 系统 的 访问 控制 安 
全 机 制 是 基于 权能 表 实 现 的 ,但 并 没有 取得 商业 上 的 成 功 。 现 代 的 操作 系统 大 多 改 用 基于 
ACL 的 实现 技术 ,只 有 少数 实验 性 的 安全 操作 系统 使 用 基于 权能 表 的 实现 技术 。 在 一 些 分 
布 式 系统 中 ,也 使 用 了 权能 表 和 ACL 相 结 合 的 方法 来 实现 访问 控制 机 制 。 

(3) HWA (profiles) 

前 缀 表 包 括 受 保护 的 客体 名 以 及 主体 对 它 的 访问 权 。 当 主体 要 访问 某 客体 时 ,自主 访 
问 控制 系统 将 检查 主体 的 前 绥 是 否 具有 它 所 请 求 的 访问 权 。 

(4) 保护 位 (protection bits) 

保护 位 机 制 类 似 于 ACL ,位 与 客体 相关 ,而 不 是 与 用 户 或 操作 相关 。 保 护 位 将 用 户 分 
为 3 类 : 自身 (self) ,文件 的 拥有 者 ;组 (group), 对 文件 共享 访问 的 用 户 的 集合 ; 其 他 
(other) , 除 拥有 者 和 组 成 员 之 外 的 任何 人 。 


Chris | File 1; Read, Write File 3; Write 


Frank | File 2: Execute 
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访问 控制 系统 中 用 户 对 文件 的 访问 有 read(r) ,write(w) 或 execute(x) 操 作 。 例 如 , 假 
设 一 个 文件 的 保护 位 是 : (rwx)(r-x)(--x) , 则 说 明文 件 的 拥有 者 对 文件 有 读 、 写 和 执行 的 
权限 ,组 中 成 员 有 读 和 执行 权限 ,其 他 人 有 执行 权限 。 由 于 保护 位 机 制 不 能 完备 地 表达 访问 
控制 矩阵 ,因而 很 少 使 用 。 


2. DAC 的 优 缺 点 

DAC 根据 用 户 的 身份 及 允许 访问 权限 决定 其 访问 操作 。 在 这 种 机 制 下 ,文件 的 拥有 者 
可 以 指定 系统 中 的 其 他 用 户 或 用 户 组 对 该 文件 的 访问 权 。 这 种 访问 控制 机 制 的 灵活 性 较 
高 ,被 广泛 用 于 商业 领域 ,尤其 是 在 操作 系统 和 关系 数据 库 系统 上 。DAC 的 优势 是 : 
QO 能够 在 一 定 程度 上 实现 权限 分 离 和 资源 保护 ; @ 使 信息 可 以 从 被 写 的 客体 流向 被 读 的 客 
体 ; @ 用 户 可 以 自主 地 授予 和 撤销 其 他 用 户 的 访问 权限 。 

然而 也 正 是 由 于 这 种 灵活 性 导致 系统 的 信息 安全 性 能 降低 。DAC 的 缺点 是 : 授权 读 
是 可 传递 的 ,一 旦 访问 权 被 传递 出 去 将 难以 控制 ,使 访问 权 的 管理 相当 困难 ,从 而 带 来 严重 
的 安全 问题 ;DAC 机 制 易 遭 到 特洛伊 木马 攻击 ;在 大 型 系统 中 ,主客 体 的 数量 巨大 ,采用 
DAC 将 使 系统 开销 大 到 难以 支付 的 程度 。 
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由 于 自主 访问 控制 不 能 抵御 特洛伊 木马 的 攻击 ,强制 访问 控制 (MAC) 作 为 一 种 基于 格 
(lattice-based) 的 访问 控制 策略 应 运 而 生 。MAC 最 早 被 应 用 在 军 方 系统 中 ,在 军事 和 安全 
部 门 中 应 用 较 多 。 客 体 有 一 个 包含 等 级 的 安全 标签 (如 不 保密 .限制 .秘密 、 机 密 、 绝 密 ) LUI 
问 者 拥有 包含 等 级 列表 的 许可 ,其 中 定义 了 可 以 访问 哪个 级 别 的 客体 ,其 访问 策略 是 由 授权 
中 心 决定 的 强制 性 的 规则 。MAC 的 本 质 是 基于 格 的 非 循环 单 向 信息 流 政策 ,通过 无 法 回 
避 的 存 取 限 制 来 阻止 直接 或 间接 的 非法 入 侵 。 它 的 两 个 关键 规则 是 : 不 向 上 读 和 不 向 下 写 ， 
即 信息 流 只 能 从 低 安全 级 向 高 安全 级 流动 ,任何 违反 非 循环 信息 流 的 行为 都 是 被 禁止 的 。 

MAC 同样 具有 一 些 弱 点 : 对 用 户 恶意 泄露 信息 无 能 为 力 ; 虽 然 MAC 增强 了 信息 的 机 
密 性 ,但 不 能 实施 完整 性 控制 ,而 网 络 应 用 对 信息 完整 性 具有 较 高 的 要 求 ,因此 MAC 可 能 
无 法 胜任 某 些 网 络 应 用 ;在 MAC 系统 中 ,实现 单 向 信息 流 的 前 提 是 系统 中 不 存在 逆向 潜 信 
道 , 否 则 会 导致 信息 违反 规则 的 流动 ,这 就 给 系统 增加 了 安全 性 漏洞 。 此 外 , MAC 过 于 强 
调 保 密 性 ,对 系统 的 授权 管理 不 够 灵活 。 

Brewer-Nash 模型 0 是 Brewer 和 Nash 开发 的 用 于 商业 领域 的 访问 控制 模型 , 它 使 用 
了 一 种 简单 上 且 易 于 描述 的 Chinese Wall 策略 ,最初 是 为 投资 银行 设计 的 ,但 也 可 以 应 用 于 
其 他 相似 的 场合 。 与 Bell-Lapadula 模型 类 似 ,Brewer-Nash 模型 并 没有 明显 区 分 用 户 和 主 
体 的 概念 ,认为 主体 包括 用 户 和 以 用 户 身份 活动 的 进程 ,而 且 Brewer-Nash 模型 的 写 规则 
考虑 到 了 特洛伊 木马 的 可 能 性 。 两 个 模型 的 不 同 之 处 在 于 : 在 Bell-Lapadula 模型 中 , 读 和 
写 规则 应 用 于 主体 -用 户 会 话 的 整个 生命 周期 中 ;而 Brewer-Nash 模型 的 读 规 则 应 用 于 用 户 
的 生命 周期 中 ,一 旦 用 户 读 了 数据 集中 的 一 个 客体 ,该 用 户 将 不 能 读 那 些 属于 相同 利益 冲突 
集中 的 另 一 个 数据 集中 的 客体 。 
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此 外 ,美国 Secure Computing 公司 提出 了 TE(type enforcement) 访 问 控制 技术 ,该 技 
术 把 主体 和 客体 分 别 进行 归 类 ,它们 之 间 是 否 有 访问 授权 由 TE 授权 表决 定 ,TE 授权 表 由 
安全 管理 员 负责 管理 和 维护 。 授 权 关系 表 (authorization relations) 是 对 应 于 访问 矩阵 中 每 
个 非 空 元 素 的 实现 技术 , 它 的 每 一 行 就 是 访问 矩阵 中 的 一 个 非 空 元 素 ,是 某 个 主体 对 应 于 某 
个 客体 的 访问 权限 信息 。 如 果 授 权 关系 表 按 主体 排序 ,查询 时 就 可 以 得 到 权能 表 的 效率 ;如 
果 按 照 客 体 排序 ,查询 时 就 可 以 得 到 ACL 的 效率 。 


1143 基于 角色 的 访问 控制 


随 着 网 络 的 发 展 和 Internet 的 广泛 应 用 ,信息 的 完整 性 需求 超过 了 机 密 性 ,传统 的 
DAC/MAC 策略 已 无 法 满足 信息 完整 性 的 要 求 ,于 是 提出 了 基于 角色 的 访问 控制 (RBAC)。 
RBAC 发 展 到 现在 已 较为 成 熟 , 并 且 在 许多 大 型 系统 中 得 以 实现 。 目 前 RBAC 是 一 个 研究 
的 热点 ,其 中 以 美国 George Mason 大 学 的 Sandhu 等 人 提出 的 基于 角色 的 访问 控制 模型 
RBAC96") , ARBAC97™ fl ARBACO9U Eng BEAK. 2001 Æ 8 A NIST 发 表 了 RBAC 建议 
标准 59 ,该 建议 标准 综合 了 该 领域 众多 研究 者 的 研究 成 果 , 描述 了 RBAC 系统 最 基本 的 特 
征 , 旨 在 提供 一 个 权威 的 .可 用 的 RBAC 参考 规范 ,为 RBAC 的 进一步 研究 指明 了 方向 。 


1. NIST RBAC 标准 

NIST 包括 两 部 分 内 容 : RBAC 参考 模型 和 RBAC 功能 规范 。 

RBAC 参考 模型 给 出 了 RBAC 集合 和 关系 的 严格 定义 ,包括 4 部 分 内 容 : 核心 RBAC 
(core RBAC) ,等 级 RBAC (hierarchical RBAC) .静态 职责 分 离 (static separation of duties, 
SSD) 和 动态 职责 分 离 (dynamic separation of duties, DSD). X 4 个 模型 为 扩展 RBAC H 
供 了 一 个 基本 的 参考 。 每 个 模型 的 定义 包括 : 一 个 基本 元 素 集 、 元 素 集合 间 的 RBAC 关系 
和 一 个 映射 函数 集 。 

RBAC 功能 规范 为 每 个 组 件 定义 了 关于 创建 和 维护 RBAC 集合 和 关系 的 管理 功能 、 系 
统 支持 功能 和 审查 功能 。 其 中 管理 功能 用 于 创建 和 维护 构成 RBAC 模型 构件 的 各 种 系统 
要 素 及 相互 关系 ;系统 支持 功能 用 于 在 用 户 与 系统 交互 时 支持 RBAC 模型 构建 的 各 种 功 
能 ,如 建立 会 话 .添加 /删除 活跃 角色 、 确 定 访问 多 辑 等 ;审查 功能 用 于 审查 由 管理 功能 和 系 
统 支持 功能 产生 的 各 种 活动 的 结果 。 

核心 RBAC 的 基本 思想 是 通过 角色 建立 用 户 和 访问 权限 的 多 对 多 关系 ,定义 了 能 够 构 
成 一 个 RBAC 访问 控制 系统 的 最 小 的 元 素 集合 ,由 5 个 基本 元 素 组 成 : HA Cusers) .角色 
Croles) 权限 (PRMS) 、 对 象 (objects) 和 操作 (OPS)。 图 1. 1. 3 为 核心 RBAC 模型 ,其 中 角 
色 分 配 (user assignment,UA) 和 权限 分 配 (permission assignment,PA) 是 多 对 多 的 关系 ,用 
双 箭头 表示 。 一 个 用 户 可 以 是 多 个 角色 的 一 个 成 员 ,一 个 角色 可 以 拥有 多 个 用 户 。 同 样 ,一 
个 角色 可 以 有 多 个 权限 ,相同 的 权限 可 以 分 配给 多 个 角色 。 

为 了 便于 对 RBAC 系统 中 复杂 的 权限 进行 管理 ,等 级 RBAC 引入 角色 间 的 继承 关系 
(role hierarchy, RH), 即 一 个 角色 可 以 通过 继承 其 他 一 个 或 多 个 角色 来 定义 。 角 色 等 级 是 
一 个 严格 意义 上 的 偏 序 关 系 , 根 据 偏 序 关 系 中 有 无 限制 又 可 分 为 一 般 继 承 RBAC(general 
hierarchical RBAC) 和 受 限 继承 RBAC(limited hierarchical RBAC) 两 种 。 一 般 继承 支持 任 
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(PA) 
(UA) permission 
user assignment ^ assignment 


图 1.1.3 核心 RBAC 模型 


意 的 具有 偏 序 关 系 的 角色 层次 结构 ,包括 支持 权限 的 多 继承 关系 和 用 户 成 员 的 多 继承 关系 
等 。 在 受 限 继承 关系 中 ,角色 之 间 不 存在 多 继承 。 

约束 RBAC 引入 了 职责 分 离 (separation of duties,SoD) 的 概念 ,其 目的 是 为 了 防止 用 
户 的 操作 超出 其 许可 范围 而 导致 欺骗 和 错误 的 发 生 。SoD 分 为 两 种 : 静态 SoD (static 
separation of duties，SSD) 和 动态 SoD(dynamic separation of duties, DSD), SSD 是 用 于 
解决 角色 系统 中 潜在 的 利益 冲突 (conflict-of-interest) 的 策略 ,是 在 为 用 户 委 派 角 色 时 ,角色 
集 与 角色 继承 之 间 的 一 种 约束 机 制 。 

DSD 也 用 于 限制 用 户 的 访问 权限 ,但 与 SSD 作用 机 制 不 同 ,DSD 是 对 用 户 会 话 中 可 激 
活 的 角色 进行 约束 ,是 对 最 小 权限 原则 的 扩展 ,每 个 用 户 根据 其 执行 的 任务 可 以 在 不 同 的 环 
境 下 拥有 不 同 级 别 的 访问 权限 。DSD 中 用 户 可 以 被 授予 多 个 角色 ,包括 有 冲突 的 角色 ,但 
它们 不 能 在 同一 个 会 话 中 被 激活 。DSD 约束 可 视 作 一 个 二 元 组 (role_set,z) ,表示 任何 用 
户 在 某 个 角色 子 集中 不 能 同时 激活 n 个 以 上 的 角色 。 


2. RBAC 的 特点 

RBAC 最 突出 的 优点 就 在 于 系统 管理 员 能 够 按照 部 门 、 企 业 的 安全 政策 划分 不 同 的 角 
色 ,执行 特定 的 任务 。 一 个 RBAC 系统 建立 起 来 后 ,主要 的 管理 工作 即 为 授权 或 取消 用 户 
的 角色 。 用 户 的 职责 变化 时 ,只 需要 改变 角色 即 可 改变 其 权限 ; 当 组 织 的 功能 变化 或 演进 
时 , 则 只 需 删 除 角 色 的 旧 功 能 ,增加 新 功能 ,或 定义 新 角色 ,而 不 必 更 新 每 一 个 用 户 的 权限 设 
置 。 这 极 大 地 简化 了 授权 管理 ,使 对 信息 资源 的 访问 控制 能 够 更 好 地 适应 特定 单位 的 安全 
策略 。RBAC 已 被 广泛 应 用 于 数据 库 系 统 和 分 布 式 资源 互 访 中 。 

RBAC 的 另 一 个 优势 体现 在 为 系统 管理 员 提 供 了 一 种 比较 抽象 的 ,与 企业 通常 的 业务 
管理 类 似 的 访问 控制 层次 。 通 过 定义 (建立 ) 不 同 的 角色 、 角 色 的 继承 关系 、 角 色 之 间 的 联系 
以 及 相应 的 限制 ,管理 员 可 以 动态 或 静态 地 规范 用 户 的 行为 。 

RBAC 的 一 个 重要 特性 是 策略 中 立 , 它 是 一 种 表达 策略 的 方法 而 不 是 一 个 具体 化 的 特 
定安 全 策略 。RBAC 除 支持 最 小 特权 原则 、 职 责 分 离 原则 和 数据 抽象 原则 等 众所周知 的 安 
全 原则 以 外 ,还 支持 角色 继承 和 角色 互 斥 。 

为 了 提高 效率 ,避免 相同 权限 的 重复 设置 ,RBAC 采用 了 “角色 继承 ”的 概念 ,定义 了 这 
样 的 一 些 角色 : 它们 有 自己 的 属性 ,但 可 能 还 继承 其 他 角色 的 属性 和 权限 。 角 色 继 承 把 角 
色 组 织 起 来 ,反映 组 织 内 部 人 员 之 间 的 职权 和 责任 关系 ,角色 可 以 拥有 自己 的 属性 和 权限 ， 
也 可 以 继承 其 他 角色 的 属性 和 权限 。 

角色 间 的 层次 关系 三 是 一 个 偏 序 关系 。 存 在 两 种 继承 关系 : 访问 权限 的 继承 关系 和 用 
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户 的 继承 关系 。 权 限 的 继承 是 自 下 而 上 的 ,上 层 角色 可 以 继承 下 层 角色 的 部 分 或 全 部 权限 ， 
不 仅 可 以 访问 本 角色 的 资源 ,还 可 以 访问 下 层 角色 的 资源 。 用 户 的 继承 是 自 上 而 下 的 ,上 层 
角色 的 用 户 也 是 下 层 角色 的 用 户 , 即 下 层 角 色 的 用 户 包含 上 层 角色 的 用 户 。 两 种 继承 关系 
可 以 总 结 为 : 

CD 权限 继承 关系 : 如 果 nns ,那么 rn 自动 拥有 rs 的 所 有 权限 。 

(2) 用 户 继承 关系 : 如 果 nons ,那么 即使 没有 把 x 分 配给 用 户 U, 拥 有 角色 x 的 用 户 
U 也 会 自动 拥有 角色 vr,。 


3. RBAC 扩展 模型 

角色 概念 的 引入 为 访问 控制 策略 带 来 了 很 多 优点 。 但 是 在 很 多 实际 应 用 中 , 仅 靠 角色 
和 权限 的 访问 控制 无 法 满足 人 们 的 需求 ,因此 出 现 了 很 多 RBAC 的 扩展 模型 。 对 基本 
RBAC 的 扩展 有 广义 RBAC(generalized RBAC,GRBAC) 模 型 0 中 基于 组 (team-based) 的 
访问 控制 模型 2? 2 、 基 于 内 容 (contentbased) 的 访问 控制 模型 2 、 基 于 代理 的 访问 控制 模 
型 5 等 ,这些 模 型 都 是 针对 特定 的 应 用 领域 而 设计 的 。 

大 多 数 RBAC 模型 都 支持 用 户 和 角色 的 约束 机 制 , 且 对 SoD 研究 较 多 ,对 约束 描述 语 
言 的 研究 很 早 就 提 了 出 来 。Bertino 等 人 提出 了 一 种 基于 他 辑 的 约束 描述 语言 ,可 以 用 来 描 
述 角 色 ,用户 和 工作 流 任务 的 约束 59 。Ahn 等 人 提出 了 一 种 基于 角色 的 认证 约束 描述 语言 
RCL2000 (Role-Based Constraints Language 20000U9, 取代 了 RCL2000 的 早期 版 本 
RSL9955 。RCL2000 不 仅 能 够 描述 SoD 约束 和 禁止 (prohibition) 约 束 , 而 且 能 够 描述 义务 
(obligation) 约 束 。RCL2000 具有 强大 的 描述 能 力 ,任何 用 RCL2000 描述 的 性 质 都 可 以 转 
化 为 一 阶 谓词 氨 辑 。 这 些 约束 描述 语言 都 可 以 描述 SoD 约束 的 各 种 可 能 的 情况 ,但 都 没有 
考虑 到 时 态 和 状态 ,无 法 描述 时 态 约束 。 

尽管 RBAC 自身 有 很 多 优点 ,但 是 在 很 多 实际 应 用 中 ,RBAC 并 不 能 满足 安全 需求 。 
如 在 实际 组 织 中 ,进程 可 能 只 在 某 个 时 间 段 内 有 效 , 角 色 也 在 该 时 间 间 隔 内 被 激活 ,这 就 要 
求 用 时 态 来 描述 角色 活动 。Bertino 等 人 提出 了 一 个 基于 时 间 (time-based) 的 访问 控制 模 
型 ,支持 非 RBAC 环境 中 的 时 态 认 证 1。 之 后 , Bertino 等 人 又 提出 了 时 态 RBAC 
(temporal RBAC,TRBAC) 模 型 [ ,支持 周期 性 的 角色 授权 与 撤销 。TRBAC 是 首先 考虑 
到 时 态 约束 的 模型 ,可 以 应 用 于 与 时 态 有 关 的 数据 库 系 统 中 。Atluri 等 人 提出 了 一 个 时 态 
数据 认证 模型 (temporal data authorization model. TDAM)®" .能够 基于 数据 的 时 态 特 点 描 
述 访问 控制 策略 ,但 是 TDAM 并 不 支持 角色 约束 。 

虽然 TRBAC 将 时 态 约 束 引 入 RBAC 模型 中 ,但 是 也 存在 一 些 缺 陷 : TRBAC 认为 角 
色 在 不 同 的 时 间 段 内 被 授权 或 撤销 ,但 没有 考虑 用 户 - 角 色 和 角色 -权限 的 时 态 约束 ; 
TRBAC 没有 很 好 地 区 分 角色 授权 (enabling) 和 角色 激活 (activation) 的 概念 ,因此 只 能 处 理 
角色 授权 的 约束 ,而 无 法 处 理 角 色 激 活 的 约束 。 此 外 ,TRBAC 没有 提 到 角色 层次 和 SoD 约 
束 的 时 间 语 义 。 为 了 解决 以 上 这 些 问题 ,Joshi 等 人 提出 了 广义 时 态 RBAC 模型 
(generalized temporal role-based access control. GTRBAC)P*?9 , GTRBAC 能 够 描述 更 加 
广泛 的 时 态 约 东 ,如 角色 、 用 户 -角色 分 配 和 和 角色 -权限 分 配 的 周期 描述 。 此 外 ,GTRBAC 还 
提出 了 角色 继承 和 SoD 约束 ,而 对 继承 和 SoD 约束 的 时 态 语义 将 成 为 今后 的 一 个 研究 
方向 。 
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1.1.5 访问 控制 研究 趋势 


随 着 Internet 技术 ,无 线 通信 技术 .电子 技术 及 计算 技术 的 高 速 发 展 ,计算 机 系统 的 应 
用 日 益 广 泛 。 然 而 如 此 庞大 的 系统 其 脆弱 性 是 不 可 避免 的 ,计算 机 网 络 正面 临 着 严峻 的 安 
全 挑战 ,而 访问 控制 作为 保障 网 络 安全 的 一 个 重要 技术 受到 人 们 的 密切 关注 。 针 对 不 同 的 
网 络 环境 ,研究 人 员 提 出 了 不 同 的 访问 控制 模型 ,这些 模型 都 为 网 络 安全 的 实现 提供 了 很 好 
的 解决 途径 。 可 以 看 到 访问 控制 技术 的 研究 呈现 出 以 下 发 展 趋势 ; 

(1) 分 布 式 系统 中 的 访问 控制 技术 将 成 为 未 来 的 研究 热点 ,包括 适用 于 分 布 式 系统 或 
工作 流 系统 的 动态 访问 控制 及 分 层 访问 控制 ,基于 角色 的 访问 控制 将 会 在 大 型 分 布 式 系统 
中 得 到 更 加 广泛 的 应 用 ; 

(2) 针对 网 络 信 息 系统 、 无 线 网 络 ( 如 Ad hoc、 传 感 器 网 络 和 移动 网 络 ) 及 P2P 系统 , 需 
要 灵活 的 、 易 扩展 的 ,支持 多 种 安全 策略 的 访问 控制 技术 ,这 将 成 为 重要 的 研究 方向 ,而 基于 
上 下 文 .基于 语义 、 基 于 位 置 等 的 访问 控制 模型 或 者 它们 的 相互 结合 ,将 会 应 用 到 更 多 的 网 
络 环境 中 ; 

(3) 可 信 网 络 是 计算 机 网 络 发 展 的 一 个 必然 趋势 ,对 可 信 模 型 .可 信 评 估 以 及 基于 可 信 
的 访问 控制 的 研究 将 成 为 重要 的 研究 方向 。 此 外 ,可 信 网 络 的 安全 问题 已 经 远 远 不 止 保密 
性 和 完整 性 的 问题 ,单一 安全 技术 很 难保 证 系统 的 真正 安全 。 访 问 控制 技术 与 其 他 安全 技 
术 进 一 步 的 结合 ,如 访问 控制 与 策略 、 域 之 间 的 隔离 、 密 钥 管 理 以 及 系统 行为 认证 等 技术 的 
结合 ,将 成 为 研究 热点 。 
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在 计算 机 系统 的 安全 研究 中 ,安全 模型 是 一 种 重要 的 形式 化 描述 和 验证 方法 , 它 不 仅 应 
用 于 系统 的 安全 定义 上 ,而且 也 应 用 于 系统 安全 的 设计 和 实现 上 。 安 全 模型 的 重要 性 主要 
体现 在 : 首先 , 它 抽 象 而 准确 地 描述 了 系统 的 安全 需求 而 不 涉及 其 实现 细节 ,这 使 得 我 们 能 
够 全 面 而 准确 地 理解 系统 的 安全 需求 定义 ,并 通过 形式 化 的 分 析 方法 找到 系统 在 安全 上 的 
漏洞 , 即 系统 脆弱 性 655 ;其 次 ,安全 模型 是 系统 安全 开发 过 程 中 的 关键 步骤 ,在 美国 国防 部 
的 “可 信 计 算 机 系统 的 评价 标准 (TCSEC)” 中 ,从 B 级 开始 就 要 求 对 安全 模型 进行 形式 化 描 
述 和 验证 ,并 作 隐 通道 分 析 等 ;最 后 ,安全 模型 的 形式 化 描述 和 验证 能 够 增强 系统 安全 的 可 
信和 度 。 

Petri 网 是 一 种 重要 的 数学 工具 , 它 能 够 有 效 地 对 信息 系统 进行 形式 化 描述 和 建 模 。 作 
为 数学 工具 ,Petri 网 可 以 通过 建立 系统 的 状态 可 达 图 来 分 析 系 统 的 行为 。Petri 网 的 模型 
分 析 方 法 具有 坚实 .严密 的 数学 基础 ,因此 ,利用 Petri 网 可 以 方便 地 对 信息 安全 模型 的 特 
性 进行 形式 化 分 析 验 证 。 文献 [33] 利 用 Petri 网 对 信息 流 安 全 模型 进行 了 分 析 ; 在 文献 
[34] 中 ,Marc 利用 Petri 网 对 基于 Take-Grant 的 自主 访问 控制 模型 进行 建 模 分 析 , 并 给 出 
了 从 Take-Grant 模型 到 Petri 网 模型 的 等 价 转换 形式 。 另 外 ,Petri 网 在 工作 流 模 型 中 也 得 
到 了 广泛 应 用 。 例 如 ,文献 [35] 利 用 Petri 网 提出 了 一 种 适用 于 工作 流 环境 中 的 上 下 文 关 
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联 的 访问 控制 模型 ;文献 [36] 利 用 Petri 网 分 析 了 工作 流 模型 中 的 同步 认证 机 制 ;而 在 文献 
[37 一 40] 中 ,Knorr 则 利用 Petri 网 对 工作 流 系统 的 动态 访问 控制 进行 了 建 模 分 析 。 

本 节 在 安全 级 格 模型 和 BLP 安全 模型 的 基础 上 ,对 强制 访问 控制 的 安全 模型 进行 了 形 
式 化 描述 和 定义 ,并 给 出 了 与 其 等 价 的 着 色 Petri 网 模型 。 在 Petri 网 可 达 图 的 基础 上 , 深 
人 探讨 了 强制 访问 控制 模型 的 4 种 安全 性 质 : 主体 对 客体 访问 的 时 序 特性 、 主 体 访问 的 可 
达 性 、 因 主体 采用 动态 安全 级 访问 而 带 来 的 安全 隐患 ,以 及 因 主 体 对 客体 的 间接 访问 而 导致 
客体 关系 的 可 推测 性 。 最 后 ,通过 对 一 个 安全 模型 的 范例 分 析 研 究 表明 : 基于 Petri 网 的 安 
全 模型 分 析 方 法 是 一 种 重要 的 形式 化 分 析 工 具 , 它 可 以 充分 利用 现 有 Petri 网 的 形式 化 分 
析 方 法 和 模型 检测 方法 对 系统 安全 模型 的 性 质 进行 自动 验证 ,并 能 够 在 安全 模型 的 设计 和 
实现 阶段 有 效 地 改善 系统 的 总 体 安全 策略 。 


1.2.1 强制 访问 控制 模型 的 形式 化 描述 与 安全 分 析 


从 安全 的 观点 来 看 ,一 个 计算 机 系统 中 存在 有 两 类 基本 的 实体 : 一 类 是 客体 , 它 主要 包 
括 文件 ,存储 区 这 些 不 活路 的 被 动 实体 ; 另 一 类 是 主体 , 它 主要 包括 用 户 ,进程 这 些 活路 的 3 
动 实体 。 客 体 是 信息 资源 的 载体 和 通道 ,主体 通过 发 起 对 客体 的 请 求 访问 而 获取 客体 中 的 
信息 资源 。 强 制 访问 控制 的 主要 特点 是 系统 中 所 有 的 主体 和 客体 都 有 一 定 的 安全 级 别 ,3 
体 对 客体 的 访问 受到 安全 级 别 的 影响 。 主 体 和 客体 的 安全 级 由 系统 安全 管理 员 决 定 , 用 户 
自己 无 权 决 定 主体 对 客体 的 访问 权限 。 

多 级 安全 (multi-level security,MLS) 是 一 个 与 MAC 密切 相关 的 概念 。 在 MAC 模型 
中 ,主体 和 客体 分 别 与 某 个 特定 的 安全 级 关联 ,系统 所 有 的 安全 级 构成 了 一 个 多 级 安全 的 体 
系 结构 。 
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强制 访问 控制 主要 是 通过 安全 级 来 实施 ,安全 级 包含 “密级 ”和 “部 门 集 ” 两 方面 。 其 中 ， 
以 人 作为 安全 主体 的 部 门 集 ,表示 他 可 以 涉猎 的 信息 范围 ;而 以 信息 资源 为 主体 的 部 门 集 则 
表示 该 信息 所 涉及 的 范围 。 

设 Ds 二 {di|i 二 1,2,…,n) 是 系统 全 体 “部 门 集 ” 所 构成 的 有 限 集 ,power(D,) 表 示 集 合 
Du 的 寡 集 , 则 全 体 * 部 门 集 ? 所 构成 的 集合 为 D={D;| D;€ power(D,。)})。 

定义 1.2.1 安全 域 了 的 格 模型 为 (D, 四 ,四 ,如 ,Du)。 其 中 空 集 刀 和 全 体 安全 域 Do 
分 别 是 代数 系统 的 零 元 和 单位 元 ; V D; D; ED, 则 运算 外 ,和 偏 序 关 系 “ 三 ”的 定义 如 下 : 

D: ® D; = D; U D;; D;®D;=D;ND;; D; <D; >D; S D; 

显然 也 是 一 个 格 ERR FE MP KA PRE OD. EWT E WE A E ETE 
和 反对 称 性 。 

定义 1.2.2 BRS 的 格 模型 定义 为 (S, 田 ,加 ,low,high)。 其中, S={S;|i=1， 
2,…,n) 是 密级 的 全 序 集 ; 零 元 low= $1 是 最 低 密级 ;单位 元 high=S, 是 最 高 密级 ;运算 由 ， 
QM FE KAS" IEH 

S OS = Seu»: SOS = Saups S «S-—icj 
因此 ,基于 密级 S 和 安全 域 D 的 格 定义 可 以 给 出 多 级 安全 工 的 格 模型 定义 。 


n 


I 


nr 
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定义 1.2.3 多 级 安全 工 的 格 模型 为 人工 ,四 ,四 ,(g,low),(Do,high))。 其 中 江 是 S 
和 WHA. M L=SXD={(S,, D;)| S;€S,D;ED}. VG, Di),(Si，Di)ELL ,运算 
CD. OAM bit FF KAS” YE CURT. 

(S;, D) ® (S;, DD = (GS; ® S;+ Di OD) = (Gus » » D; UD) 
(Ss DODO D) = CS; © Sa DO Dj): = Gus ps Di (1D) 
((S;, D) <(S;, D;)) — (S; < S) A (D; iD) 

定理 1.2.1 多 级 安全 上 L 是 一 个 布尔 格 ,其 中 , 零 元 和 单位 元 分 别 是 (如, low) 和 (D。 
high). 

事实 上 REZAD, OWE MA: VL. L; € L'SupQ(L; Lj) ^ LOL € Lilnf(L;, 
Lj) = Li:OL;EL。 另 外 ,由 偏 序 关系 “二 ”的 基本 定义 可 知 定理 1.2. 1 成立。 

多 级 安全 工 的 元 素 (S;, D;) 是 一 个 二 维 向 量 , 两 个 分 量 分 别 表示 “ 密 级 ”和 “安全 域 ”。 
安全 级 上 是 由 系统 的 安全 管理 员 定 义 。 在 如 下 的 强制 访问 控制 安全 模型 中 ,可 定义 系统 密 
BRU. C. S. TS). Hilijg 4 X U-—C-—S-TS. ENAIRE Unclassified (U), 
Confident (C) , Secret S) . TopSecret(TS)。 相 应 地 ,安全 级 L 可 表示 为 (U, Di). (C, Di)， 
(S, D;),(TS, D;), 其 中 D;€ D。 为 表示 方便 ,在 如 下 的 模型 分 析 中 ,我 们 分 别 用 U, C. S. 
TS 来 表示 相应 的 安全 级 上, 这 并 不 影响 对 问题 的 结论 分 析 。 
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MAC 模型 具有 较 强 的 灵活 性 ,由 系统 安全 管理 员 给 主体 和 客体 分 配 不 同 的 安全 级 别 。 
在 实施 访问 时 ,系统 需要 对 主体 和 客体 的 安全 级 别 进行 比较 ,再 决定 主体 访问 客体 的 安全 策 
略 。 主 体 和 客体 的 安全 级 是 一 个 二 维 向 量 : 一 个 是 具有 偏 序 关系 的 密级 , 另 一 个 是 部 门 集 。 
因此 ,基于 多 级 安全 工 的 格 模型 c] 和 Bell-LaPadula 模型 的 特点 ,我 们 可 以 形式 化 地 描述 
MAC 模型 如 下 : 

定义 1.2.4 MAC 模型 是 一 个 六 元 组 M=(S,0,A,L, f, RKP: 

(1) S; 主体 集 ;O: 客体 集 ; 

(2) A: SXO>{@, (read) .{write}.{read, write)) 表 示 主 体 对 客体 的 访问 模式 ; 

(3) L: 安全 级 (L ,三 ) 是 格 ,其 元 素 (S, D) 是 一 个 二 维 向 量 ,两 个 分 量 分 别 表示 “密级 ” 
和 “部 门 集 ”, 并 且 满 足 ((S;, DOSS, D; > (S;< SO A (D;<D,)); 

(4) f: SUO>L 是 主体 或 客体 到 安全 级 的 映射 。 每 个 主体 的 安全 级 表示 为 (L。， 
Lus Las) o PEP Lass Las € L 分 别 表示 主体 S 所 允许 的 最 大 和 最 小 安全 级 ,而 Lu, EL 则 
表示 系统 安全 管理 员 赋 予 主体 S 的 当前 安全 级 , 且 有 Lswis 夺 Lo 三 Lmwx;Low EL 表示 客体 O 
的 安全 级 ; 

O) R: 一 组 安全 规则 ,规定 主体 对 客体 访问 时 应 该 遵循 的 约束 条 件 。 

模型 的 安全 规则 R 是 基于 BLP 模型 的 安全 策略 , 即 限制 “ 向 上 读 ” 和 “向 下 写 ”, 它 们 分 
别 对 应 于 BLP 模型 的 简单 安全 规则 和 星 规 则 。 

CD 简单 安全 规则 : 主体 可 以 读 客体 , 当 且 仅 当 La Lass 

O 星 规则 : 主体 对 客体 只 有 “ 写 (write)” 权 , 当 且 仅 当 Laus Las 主体 对 客体 有 “ 读 
(read) "BL. MANK Los 二 Lc; 主体 对 客体 有 “ 读 写 (read-write)” 权 , 当 且 仅 当 Los 二 Le。 

实际 上 ,简单 安全 规则 是 隐 含 在 星 规则 中 的 ,这 是 因为 主体 的 当前 安全 级 不 大 于 主体 的 
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最 大 安全 级 别 。 星 规则 主要 针对 的 是 不 可 信 主 体 。 由 安全 级 工 的 格 模型 可 知 ,系统 中 的 任 
何 两 个 元 素 ( 主 体 或 客体 ) 都 可 以 比较 大 小 ,因此 ,可 以 根据 主体 和 客体 安全 级 别 的 高 低 对 信 
息 的 流向 加 以 控制 。 

定义 1.2.5 在 MAC 模型 M 中 ,系统 管理 员 授 予 主体 的 安全 级 是 一 个 范围 (Lan， 
Lomax) o FF Lmin C Lmax o WEKA EEN fi EEE Lun 二 Lux* 则 称 该 主体 是 不 可 信和 主体 。 


1.2.2 着 色 Petri 网 


Petri 网 以 研究 系统 的 组 织 结构 和 动态 行为 为 目标 ,着 眼 于 系统 中 可 能 发 生 的 各 种 变化 
之 间 的 关系 , 它 只 关心 变化 所 需 条 件 和 变化 对 系统 状态 的 影响 。 正 是 由 于 Petri 网 所 具备 
的 强 有 力 的 表达 能 力 、 良 好 的 数学 基础 ,使 得 Petri 网 的 应 用 范围 日 益 扩 大 , 且 成 为 用 来 描 
述 安全 模型 的 较 好 工具 。 着 色 Petri 网 CPN(colored Petri ne) “PEIER Petri 网 的 一 种 扩 
展 形式 , 它 增强 了 P/T 网 对 模型 的 模拟 和 描述 能 力 。 

定义 1.2.6 ATH X— (S. T. F, K, W, Mo) 是 Petri 网 系统 , 当 且 仅 当 : 

(OD S 是 一 个 有 限 位 置 集 ,T 是 一 个 有 限 变迁 集 , 且 SUTASD,SNT=2; 

(2 FE(SXT)UC(TXS); 

(3) Ki SN" U {co} E12 EA tt PH; 

(4) W: F-~N+ 是 弧 权 函数 ; 

(5) My: S—N 是 初始 标识 , 且 满 足 V s€S,M。<K(s)。 

Petri 网 系统 的 前 置 关 联 和 矩阵 Pre 和 后 置 关 联 和 矩阵 Post H |P |X |T| ME: 

(1) Pre[5.£]—W G0 , 当 且 仅 当 : s€ S.£€ T. GSC FwG.020; 

(2) Post s.t] —W G5) , 当 且 仅 当 : sES,tET, (t s) EF, wlt, s)>0. 

UEM 有 发 生 权 的 条 件 是 :VsES, 有 xsE ;一 MG) 三 WCG As€tU >M) +Wt,s) 
SK (s) ,这 是 说 M 授权 t 发 生 , 记 作 Mie. AHEM 有 发 生 权 ,那么 :就 可 以 实施 。 发 生 


的 结果 是 把 M 变 成 新 标识 M" , 记 作 ML > M’ Bk M>M',M' 叫 作 M 的 后 继 标识 。 

定义 1.2.7 CPN 网 定义 为 一 个 九 元 组 CPN =(3, P, T, A, N, C, G, E. D, 

OD 三 是 一 个 有 限 非 空 的 原子 颜色 集 ; 

(2) P LT 分 别 是 一 个 有 限 位 置 集 和 变迁 集 ; 

G) A 是 一 个 有 限 弧 集 : PAT=PNA=TNA=G; 

(D N 是 一 个 节点 函数 : A>(PXT)UCTXP); 

Co C 是 一 个 颜色 函数 : pod; 

(6) G 是 一 个 保证 函数 : V (€ T.[Type(G(t)) = Boolean A Type (Var(GGO)) CX]. 5 
变迁 1 相 关联 的 保证 函数 描述 了 该 变迁 能 够 发 生 的 前 提 条 件 ; 

(7) E &—^A 3E: Va € A.[ TypeCE(Ca)) — CC pCa)) us A TypeCVarCECa))) CX]. 
其 中 p(a) dz N(a) 的 位 置 ; 

(8) I 是 一 个 初始 化 函数 。 

定义 1.2.8 CPN 中 变迁 1 的 绑 定 是 一 个 定义 在 Var(z) 上 的 函数 5, 即 :VvE Vart), 
bv) E Type). $ B(1) 表 示 变 迁 1 的 所 有 绑 定 ,G(z) (6) 表示 保证 函数 GOERE b E 
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的 值 。 

ÆX 1.2.9 4 CPN-G. P. T. A.N N, C, G, E, 了; 则 有 : 

(1) 一 个 变迁 步 Y 在 标识 M 下 是 可 实施 的 , 当 且 仅 当 : V PEP. So,weryE(p, t) 
M(p)。 若 变迁 步 Y 在 标识 M 下 可 实施 , 且 (t, 5)EY, 则 称 变迁 1 在 标识 M 下 ,对 绑 定 5 而 
言 是 可 实施 的 。 

(2) 如 果 变 迁 步 Y 在 标识 M 下 是 可 实施 的 ,那么 Y 可 以 实施 并 产生 一 个 新 的 后 继 标 识 
M ,M 可 定义 为 : 
Vp€ P, M(p)= (M(p) —XG. D) € YE, DO)) +304. D € YEG, p)(b). 
(3) 标识 M 经 过 Y 的 实施 得 到 新 的 标识 M“ ,可 表示 为 MLY >M. 
定义 1.2.10 标识 M 是 由 Mo 可 达 的 , 当 且 仅 当 存在 一 个 变迁 发 生 序列 ,使 得 My o 
实施 得 到 M, 亦 即 ,Mo[c>M。 由 M 可 达 的 标识 集 可 表示 为 LM。 

定义 1.2.11 CPN 的 可 达 图 (发 生 图 ) 是 一 个 以 标识 为 节点 的 有 向 图 G=(V, A, N), 
Hop. A V=(M >; ME A— (OM; b. MDIMIEVAM; VADE BEA (MLY > 
MD) N EPAR: Va=(M,, b, MD. N(a)=(M,, Mb, 


1.2.3 基于 着 色 Petri 网 的 强制 访问 控制 模型 


在 基于 Petri 网 的 安全 性 分 析 中 ,状态 空间 的 可 达 性 分 析 是 一 种 重要 的 安全 属性 验证 
方法 。 为 了 方便 将 原 有 的 MAC 模型 转换 成 与 其 在 语义 上 等 价 的 CPN 模型 ,首先 需要 引入 
实体 安全 模型 ESM(entity security model) 的 概念 。 与 数据 库 中 EM Centity model) 的 概念 
相 类 似 ,ESM 模型 更 接近 于 MAC 的 现实 模型 ,而 MAC 模型 的 CPN 模型 则 是 抽象 层次 更 
高 的 模型 。 因 此 ,在 MAC 模型 的 转换 框架 模型 中 ,如 图 1. 2. 1 所 示 ,ESM 模型 能 够 在 保证 
语义 一 致 性 的 前 提 下 将 MAC 模型 映射 成 与 之 等 价 的 CPN 模型 。 


图 1.2.1 强制 访问 控制 模型 的 转换 框架 模型 


1231 实体 安全 模型 ESM 


定义 1.2.12 实体 安全 模型 ESM 是 一 个 四 元 组 ESM= (Entities, Relations. f» L), 
其 中 Entities 表示 模型 的 实体 集合 ; Relations 表示 实体 间 的 关系 , 且 有 Entities € O, 
Relations€ OCO 表示 MAC 模型 中 的 客体 集 );L Xeon ER HR HRERL, <S) jtk 
f: EntitiesU Relations >L 是 客体 到 安全 级 的 映射 , 即 系统 安全 管理 员 赋 予 实体 Entities 和 
实体 间 的 关系 Relations 的 安全 级 。 

考虑 图 1. 2. 2 所 示 的 实体 安全 模型 , 则 有 : 实体 集 Entities = (institute, Prof. 1, 
Prof. 2. symposium. project); # 4 Relations = (member. research, attend, subject, 
director); L=(U. C. S,，TS) , 且 满 足 全 序 关系 U-C-— S- TS; KAR KERR KAR 
f. 4 fGnstitute) =U; f(Prof. 1) =U 等 。 


member [C] 


director [S] 


图 1.2.2 强制 访问 控制 模型 的 等 价 实体 安全 模型 


1232 MAC 模 型 的 等 价 CPN 模 型 


根据 CPN 网 的 语义 ,为 了 生成 与 ESM 模型 等 价 的 CPN 模型 ,我 们 可 以 定义 CPN 模型 
和 与 之 对 应 的 ESM 模型 的 映射 转换 算法 如 下 : 

CD fi P: 对 应 于 ESM 模型 中 的 Entities. 

(2) "EXE T: 对 应 于 ESM 模型 中 实体 之 间 的 联系 Relations. 

(3) 原子 颜色 集 : E—(L. Access mode. PR) ,其 中 了 表示 安全 级 ;Access_mode 表示 
主体 对 客体 的 访问 模式 。 变 量 Ls 和 上 L。 分 别 表示 主体 的 最 大 和 当前 安全 级 ,Lo 表示 客体 
的 安全 级 。 

(4) 颜色 函数 : CC p) — PR — LX L X Access_mode。 

(5) 变迁 保证 函数 Guard: 与 变迁 相关 的 Guard 函数 描述 了 发 生 状 态 变 迁 的 点 火 条 
件 ,也 即 主 体 对 实体 之 间 关 系 Relations 拥有 读 权限 的 安全 级 约束 条 件 。 利 用 安全 模型 的 
星 规则 : 主体 可 以 读 客体 , 当 且 仅 当 Lmw 近 Les。 因此 ,我 们 可 用 式 [Lws 之 Lam] 来 表示 
Guard 函数 ,其 中 Laim 表 示 实 体 间 联系 Relations 的 安全 级 别 , 且 由 系统 安全 管理 员 加 以 
定义 。 

(6) IRZ: 出 弧 AC PXT S A LE p € P( 表 示 客 体 ) 移 出 相应 的 token, BM Lmax 
Lew + access) , HTC PARK out La) DE token HAA MBA, AKA € Tx P 则 表示 在 与 
该 弧 相连 的 位 置 p EP( 表 示 客 体 ) 增 加 token, AIAX in(Low) 决 定 token 的 数目 和 颜色 
值 ; 入 弧 函 数 in(Los) 实 施主 体 对 客体 的 访问 实施 强制 访问 控制 (限制 “向 上 读 ” 和 “向 下 
E”) ,根据 主体 和 与 弧 终端 节点 所 表示 客体 的 安全 级 别 来 确定 主体 对 客体 的 访问 模式 
access。 

定理 1.2.2 根据 如 上 ESM 模型 和 CPN 网 之 间 映 射 算法 所 生成 的 MAC 模型 的 CPN 
网 , 它 在 语义 上 与 ESM 模型 所 描述 的 MAC 模型 等 价 。 

因此 ,根据 如 上 CPN 模型 和 与 之 对 应 的 ESM 模型 的 映射 算法 ,我 们 可 以 生成 与 
图 1. 2. 2 中 实体 安全 模型 等 价 的 CPN 模型 ,如 图 1. 2. 3 所 示 , 图 中 的 CPN 模型 中 ,颜色 集 、 
函数 和 变量 的 表示 是 基于 Standard ML iff BAY). ACIER Cin COSE BUE rp n] fei de 
(Loin 一 Lmax) 和 可 信和 主体 (Lwin 二 Lmsx) 对 客体 访问 的 安全 规则 access 均 给 出 了 统一 的 准确 描 
述 ;出 弧 函 数 out(z) 仅 从 位 置 已 移出 相应 的 token, 即 (Linx + Lours access) o 
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out 
ts[ Lmax >C] 
in (C) 


4 [Lma=C | 
in (U) in (S) 


tol Lmax >S] PR 


in (U) in (S) out 
color L= with UICIS| TS; fun out= (La, « Ler» access); 
color Access_mode= with Ø | (read }| fun in (Laj) =if (Linx > Loj) then 
{write} | (read. write}; if (Leur > Loj) then 
color PR= product L * L * Access mode; access = {read} 
var Las Los Laji Ls else if (L.,, — Lo) then 
var access: Access mode; access— { write} 
else ac (read. write} 
else access= Ø 


图 1.2.3 强制 访问 控制 模型 的 等 价 CPN 网 模型 


1233 强制 访问 控制 模型 的 访问 可 达 图 


设 安 全 模型 的 Petri 网 系统 的 标识 是 函数 M: P> {0,1}, HI Vp € PL p (0.1), 
图 1.2.3 中 的 客体 (institue，Prof. 1. Prof. 2. project. symposium) 分 别 对 应 于 CPN 中 的 
位 置 CP, Pas Pas Pas Ps) , 则 标识 映射 可 定义 为 : 

OD m; —MCp) = 二 1， 当 pi; 包含 一 个 或 多 个 token. A access# Ø; 

(2) m=M(p:)=0, %4 pi 无 token, 或 者 access— Ø., 

因此 ,基于 MAC 模型 的 CPN 模型 ,可 以 构造 主体 对 客体 访问 的 状态 可 达 图 ,并 可 利用 
现 有 的 Petri 网 模型 分 析 工 具 去 验证 系统 的 有 关 安 全 属性 。 

考虑 生成 图 1. 2. 3 的 状态 可 达 图 , 若 考虑 主体 的 动态 安全 级 , 则 图 1. 2. 4 表示 安全 级 为 
LU, TSj 的 可 信和 主体 (Ls 二 Lm ) 的 可 达 图 ;而 图 1. 2. 5 则 表示 安全 级 为 LS，S] 的 不 可 信 主 
IE CL min = Las) HJ HJ 3 [8] o 


10000 


00100 


图 1.2.4 可 信 主 体 可 达 图 图 1.2.5 不 可 信和 主体 可 达 图 
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值得 指出 的 是 ,对 于 规模 较 小 的 系统 ,验证 时 模型 的 状态 空间 似乎 并 不 是 一 个 关键 性 的 
问题 ;然而 ,对 于 一 个 比较 复杂 的 模型 ,CPN 的 状态 空间 将 随 着 实际 系统 的 规模 增长 以 指数 
形式 呈 爆 炸 性 地 增长 。 这 种 计算 复杂 性 导致 状态 可 达 图 分 析 方 法 在 解决 现实 系统 的 分 析 问 
题 中 存在 着 某 些 困难 ,这 一 直 也 是 形式 化 验证 中 一 个 值得 研究 的 重要 问题 。 


1.2.4 安全 性 分 析 


1241 主体 访问 客体 的 时 序 特 性 


设 客体 O, 和 客体 0; 分 别 对 应 于 CPN 模型 中 的 位 置 P, 和 P,。 基 于 安全 模型 的 可 达 
图 ,可 以 对 主体 访问 客体 的 时 序 性 质 进行 分 析 。 考 虑 如 下 一 些 典 型 的 时 序 性 质 : 

性 质 1. 2. 1(Follow $R) 若 主体 在 访问 客体 O, 后 紧 接着 访问 客体 O , 则 在 可 达 图 的 
每 一 条 路 径 中 ,包含 P 的 状态 标识 必须 先 于 包含 P: 的 状态 标识 , 即 : 

Follow(Pi, P;) = {(Pi, P2) | (M;(Pi:) = D A (M;(P:) = D A (M:[> Mi)) 

性 质 1.2. 2(Precede 关系 ) Precede 关系 与 Follow 定义 相反 : 

Precede(P, ，P:) = Follow(P,, Pi) 

性 质 1.2. 3( Adjacent 关系 ) 主体 所 访问 的 客体 O, 和 客体 0; 是 邻接 关系 , 则 在 可 达 
的 每 一 条 路 径 中 ,包含 P 的 状态 标识 和 包含 P: 的 状态 标识 是 邻接 的 , 即 : Adjacent CP, 
P4) — (GO, P2)|(M,(P,)=1) A (M,(P2)=1) A (CM, L> MD V (M;[> MD)))。 

性 质 1.2. 4(After 关系 ) 若 主体 对 客体 Oi 访 问 先 于 对 客体 0; 的 访问 , 且 对 客体 O A 
0O; 的 访问 不 邻接 , 则 在 可 达 图 的 每 一 条 路 径 中 ,包含 已 的 状态 标识 必须 要 先 于 包含 P. 
的 状态 标识 , HU: After CPi, Ps)={(Pi, P2 | (M; (P) =1) A OM; C52 21) A 
(OH Maa D 7M) N(M:ÆMi+)} o 

性 质 1.2. 5(Before %3) Before 关系 的 定义 与 After 定义 相反 : 

Before( P, ，P:) = After(P,, Pi) 

性 质 1.2.6(Mutex 关系 ) 若 主体 在 访问 客体 O 的 过 程 中 不 能 同时 访问 客体 O , 则 在 可 
达 图 的 每 一 条 包含 P 的 状态 标识 的 路 径 中 ,不 能 出 现 包含 已 的 状态 标识 , 即 : Mutex(P, ， 
P;:9— (OD, . P2:)|(M;(P,)=1) AAfter CP; » P) A —FollowCP; » P;) A APrecedeCP; , P) A 
Before(P;+ P3]. 

对 如 上 这 些 典型 的 时 序 性 质 , 可 以 利用 模型 检测 Cmodel-checking) 的 方法 对 这 些 安全 
性 质 进行 形式 化 的 自动 验证 ,相关 的 验证 方法 可 参见 文献 [44,45]。 


1242 敏感 信息 的 可 推测 性 


如 图 1.2.6 所 示 , 设 系统 安全 管理 员 授予 了 主体 S 对 实体 关系 R,、Rs MR, 的 访问 权 
限 。 尽 管 系统 并 未 授权 主体 S 对 实体 关系 尽 , 的 访问 权限 ,但 主体 S 还 是 可 能 推出 在 实体 
E, 和 E, 之 间 存 在 敏感 关联 信息 , 如果 在 两 个 实体 之 间 还 存在 其 他 路 径 : E 一 
E,—E,—E. 


E 
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车 考虑 图 1. 2. 2, 设 Prof. 1 参加 一 个 关于 某 研究 项 目 Project 的 会 议 Symposium ,他 将 
可 能 推测 出 该 研究 所 Institute 所 进行 的 研究 项 目 ,虽然 " 
系统 管理 员 并 未 授予 Prof 1 对 Research 的 访问 权限 。 C 一 一 一 = E) 
分 析 不 可 信 主 体 的 访问 可 达 图 (如 图 1. 2. 5 所 示 ) ,我 们 可 


以 注意 到 , 尽管 系统 并 未 授予 不 可 信 主 体 (安全 级 为 S) Ro Ry 
对 实体 关系 Research( 安 全 级 为 TS) 的 访问 权限 ,但 是 该 
主体 还 是 有 可 能 通过 间接 的 访问 路 径 知道 研究 所 CAL Ch) 


Institute 的 研究 项 目 。 这 种 安全 隐患 可 以 通过 检测 可 达 图 1.2.6 敏感 信息 的 可 推测 性 
图 来 发 现 ,因为 在 可 达 图 中 存在 一 条 包含 标识 M: M M, KY 
路 径 , 且 满足 : 
(M;(P,) = D A (M;(P,) = 0) A OMjCP)0 = 0) 人 COWMCP) = D 

上 式 中 ,P, 和 P, 分 别 对 应 于 实体 Institute 和 Project. 

因此 ,根据 以 上 分 析 可 以 得 出 如 下 更 为 一 般 性 的 结论 : 

定理 1.2.3 设 R 表 示 实 体 P, 和 P, 之 间 的 关系 , 且 系 统 并 未 授予 主体 S 对 R 的 访问 
权限 ;车 要 防止 主体 S 在 访问 实体 P, 的 过 程 中 间接 地 推测 出 与 实体 P, 有 关 的 敏感 信息 ( 实 
体 间 关系 尺 的 存在 ), 则 在 该 主体 访问 的 可 达 图 中 ,对 任意 两 个 标识 状态 M; 和 Mj, 必须 满足 
如 下 条 件 : 


(Mi(P,.)=1) A (M(P,) = 0) A 
(Mj(P,) = 0) A (M,(P,) = 1) > 
` Mi[> Ma [> = > Mj] A (M; # Ma] 
To 为 了 防止 此 类 敏感 信息 的 可 推测 性 , 若 将 实体 间 关 


A Subject 的 安全 级 S 改变 为 TS , 则 安全 级 为 S 的 主体 
图 1.2.7 修改 安全 级 的 可 达 图 ”对 客体 Project 的 访问 将 不 再 可 达 , 如 图 1.2.7 所 示 。 


1243 主体 动态 安全 级 访问 的 安全 隐患 


在 不 允许 动态 改变 主体 安全 级 的 情况 下 ,强制 访问 控制 模型 中 的 安全 策略 对 控制 信息 
从 低 安全 级 流向 高 安全 级 是 有 效 的 。 但 是 ,使 用 静态 安全 级 的 策略 势必 影响 到 模型 安全 策 
略 的 灵活 性 ,所 以 必须 引入 动态 安全 级 的 概念 。 然 而 ,引入 动态 安全 级 , 若 不 能 对 信息 的 流 
向 进行 有 效 的 控制 ,将 会 造成 潜在 的 安全 隐患 。 

考虑 如 下 情形 : 设 主体 S 的 最 大 安全 级 为 Lu ,客体 O, 和 Oo: 的 安全 级 分 别 为 工 5j Li. 
且 满 足 偏 序 关系 Lo > Li >L: WERZA ,当主 体 S 的 当前 安全 级 别 为 Lo 时 , 因 工 ,二 Li， 
所 以 S RARO 的 权限 ,这 表明 S 从 O 读 的 信息 
I; 在 时 刻 t;, 当 主体 S 的 当前 安全 级 别 改变 为 L， 
时 , 因 主 体 的 当前 安全 级 和 客体 的 安全 级 相等 , 同 为 
L, ,所 以 S 具有 “ 写 ?O; 的 权限 ,这 表明 S 将 信息 了 I 
“ 写 ? 给 O 。 最 终结 果 是 : 信息 工 从 具有 较 高 安全 级 
别 的 客体 O 流向 了 较 低 安全 级 的 客体 0;, 如 
1.2. 8 所 示 , 图 中 方 括号 内 是 实体 的 安全 级 。 图 1.2.8 动态 安全 级 访问 的 安全 隐患 
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考虑 图 1. 2.4 中 可 信和 主体 对 客体 的 访问 可 达 图 。 当 可 信和 主体 访问 客体 Project HER 
为 S) 后 ,再 对 客体 Prof. 2( 安 全 级 为 U) 进 行 访问 , 则 将 有 可 能 出 现 客 体 Project 中 的 信息 I 
间接 地 流向 客体 Prof. 2 的 情况 ,而 这 种 信息 流向 是 非法 的 ,因为 信息 了 是 从 具有 和 较 高 安全 
级 别 的 客体 流向 了 较 低 安全 级 的 客体 。 

一 种 可 行 的 检测 算法 是 : 在 主体 S 的 数据 结构 中 同时 保留 有 主体 的 最 大 安全 级 别 工 ss。 
和 当前 安全 级 L。 ,系统 的 安全 管理 员 将 对 主体 的 当前 安全 级 的 变化 进行 跟踪 。 设 系统 记 
录 主 体 S 所 * 读 ”客体 的 最 大 安全 级 是 max, 则 根据 我 们 定义 安全 级 的 格 模 型 和 安全 策略 ,这 
意味 着 有 信息 流 I: maxLa. AS GERM A EK S 要 将 其 当前 安全 级 更 改 为 某 个 客 
体 所 拥有 的 安全 级 min 时 ,这 意味 着 有 信息 流 I: Line > min. dif E I: max-~Las 和 工 : 
Linx > min 可 推出 隐 含 的 信息 流 T: max~min。 信 息 流 的 合法 性 可 由 系统 安全 管理 员 来 判 
定 : 当 min<max 时 ,这 是 合法 的 信息 流 ; 当 max<min 时 ,这 是 非法 的 信息 流 。 因 此 ,根据 
如 上 检测 算法 可 得 出 如 下 结论 。 

定理 1.2.4. WE CPN 模型 中 位 置 p 和 g 分 别 表 示 强 制 访问 控制 模型 中 的 两 个 客体 ,其 
相应 的 安全 级 是 f(p) 和 f(g)。 若 在 访问 客体 的 过 程 中 主体 的 安全 级 动态 可 变 , 则 为 了 防 
止 在 主体 访问 不 同 客体 时 出 现 非法 的 信息 流 , 应 满足 如 下 约束 条 件 : 

Vp.q€ P, M[> Mm, M) =1) A Ma = 1) > fG) x fp 

从 主体 访问 的 状态 可 达 图 中 标识 变迁 的 定义 以 及 强制 访问 控制 模型 中 主体 对 客体 的 强 

制 访问 策略 可 知 , 上 述 结论 显然 是 成 立 的 。 
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标识 可 看 成 给 定时 刻 的 系统 状态 ,可 达 图 中 的 每 个 节点 对 应 于 每 个 标识 ,从 根 标识 节点 
开始 的 可 达 图 反映 了 系统 从 初始 状态 开始 后 的 状态 变化 。 可 达 图 的 路 径 可 定义 为 标识 序列 
Mo，Mi,…，M, ,其 中 ,对 于 Vi 二 j (i, j= 二 1,2,…,n) ,存在 变迁 序列 Y= 4 nuu EIA 
标识 M, 可 以 到 达标 识 Mj, 记 为 Mi[Y >M,. 

定义 1.2.13 若 主 体 被 授权 能 够 访问 某 个 客体 ,并 且 存 在 一 条 路 径 ,主体 通过 该 路 径 
能 够 访问 到 该 客体 , 则 表明 该 客体 是 访问 可 达 的 ;否则 ,车 主体 被 授权 能 够 访问 某 个 客体 ,但 
不 存在 这 样 一 条 访问 可 达 路 径 , 则 称 该 客体 访问 不 可 达 。 

定理 1.2.5 设 CPN 模型 中 位 置 Pi 表示 强制 访问 控制 模型 中 的 某 个 客体 , 则 在 主体 的 
访问 可 达 图 中 , 若 该 客体 对 该 主体 而 言 是 访问 可 达 的 , 则 至 少 存在 一 个 标识 M; 和 变迁 序列 
Y WEA: (M: (P) =1) A (M [Y>M:;). 

考虑 图 1. 2.7, 在 将 实体 间 关 系 Subject 的 安全 级 SMBH TS 后 ,尽管 系统 安全 管理 
员 人 允许 主体 访问 客体 Project( 主 体 的 安全 级 等 于 客体 的 安全 级 SO ,但 是 安全 级 别 为 S 的 主 
体 对 客体 Project 的 访问 将 不 再 可 达 。 


13 支持 移动 通信 的 访问 控制 


随 着 信息 技术 和 通信 技术 的 发 展 , 人 们 的 通信 方式 发 生 了 日 新 月 异 的 变化 ,移动 通信 为 
人 们 提供 了 一 个 完整 的 可 靠 传输 方式 ,使 用 户 摆脱 终端 的 束缚 ,实现 任何 时 间 和 地 点 之 间 的 
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通信 。 此 外 ,Internet 的 一 个 发 展 趋势 是 支持 移动 无 线 网 络 ,移动 IP'“** 引 在 这 种 背景 下 应 运 
而 生 ,能 够 保证 一 个 无 线 网 络 节点 从 网 络 连接 的 一 端 自 由 地 移动 到 另 一 端 ,而 不 会 中 断 端 到 
端的 网 络 连接 。 

IPv6 是 下 一 代 互 联网 协议 ,具有 很 好 的 扩展 性 和 兼容 性 , 它 最 终 将 代替 IPv4 成 为 互联 
网 的 主要 网 络 协议 。 本 节 基 于 层次 移动 IPv6 (hierarchical mobile IPv6, HMIPv6)U9 结构 , 
介绍 了 一 种 有 效 结合 访问 控制 和 移动 管理 的 方法 ,其 思想 是 通过 HMIPv6 的 本 地 移动 管理 
改善 认证 延迟 和 带宽 消耗 ,并 设计 了 优化 方法 以 加 速 访问 认证 点 获得 移动 节点 的 认证 信息 。 


1.3.1 移动 IPv6 


移动 通信 起 源 于 20 世纪 70 年 代 , 经 过 几 十 年 的 发 展 ,现代 移动 通信 经 历 了 从 第 一 代 模 
拟 的 移动 通信 系统 ,到 20 世纪 90 年 代数 字 化 的 GSM 系统 ,再 到 当前 第 三 代 移 动 通信 系统 
的 发 展 变革 。 移 动 通信 系统 的 发 展 为 用 户 提 供 了 更 多 的 互联 网 业务 。 在 当前 移动 通信 网 的 
标准 中 ,IP 技术 已 经 得 到 充分 的 应 用 ,要 求 每 个 移动 终端 都 是 IP 可 达 的 , 且 至 少 拥 有 一 个 
全 球 唯一 的 IP 地 址 。 移 动 IP 允许 移动 节点 从 一 个 链 路 移动 到 另 一 个 链 路 而 不 需要 改变 移 
动 节 点 的 IP 地 址 。 

在 移动 通信 网 络 中 ,无 论 移 动 节点 移动 到 网 络 中 的 任何 地 方 ,目的 地 址 是 移动 节点 家 乡 
地 址 的 包 都 能 够 路 由 到 移动 节点 , 且 移 动 节点 移动 到 新 链 路 后 可 以 继续 与 其 他 节点 保持 通 
信 ,保证 了 移动 节点 的 移动 对 于 传输 层 或 更 高 层 协议 和 应 用 的 透明 性 。 而 IPv4 对 移动 互联 
网 具有 很 多 限制 ,因此 只 有 IPv6 才能 满足 这 种 需求 ,移动 通信 的 发 展 迫 切 需要 IPv6 。 

IPv6 与 移动 通信 的 结合 将 为 目前 的 互联 网 开拓 一 个 全 新 的 领域 ,无 线 网 络 将 成 为 IPv6 
的 一 个 重要 应 用 , 且 是 实现 移动 互联 网 上 服务 的 关键 。IPv6 的 出 现 是 移动 计算 的 一 个 重要 
里 程 碑 , 其 主要 特性 对 于 未 来 的 移动 无 线 网 络 的 发 展 至 关 重 要 ,这 些 特性 包括 : 足够 多 的 IP 
地 址 、 安 全 数据 包头 的 实现 .目的 选项 提高 了 路 由 效率 `. 地 址 自动 配置 .避免 人 口 过 滤 等 。 

移动 IPv6 (mobile IPv6, MIPv6) fti IPv6 主机 在 离开 其 家 乡 网 络 后 仍 能 很 好 地 维持 
其 原 有 的 通信 ,并 与 Internet 很 好 地 连接 。 移 动 IPv6 的 实现 机 制 对 TCP、UDP、 应 用 层 等 
都 是 透明 的 ,对 移动 用 户 来 说 ,丝毫 不 会 感觉 到 其 移动 对 通信 的 影响 。 此 外 ,IPSec 是 集成 
在 IPv6 中 强制 实现 的 ,因此 移动 IPv6 能 够 提供 比 移动 IPv4 更 好 的 安全 性 。 移 动 IPv6 使 
用 户 能 在 同类 或 不 同类 的 网 络 中 进行 漫游 和 无 缝 的 切换 ,而 对 移动 性 的 支持 是 IPv6 最 显著 
的 特点 。 随 着 无 线 通 信 技 术 和 互联 网 的 发 展 , 越 来 越 多 的 用 户 成 为 移动 用 户 , 由 于 IPv6 协 
议 中 的 邻居 发 现 协 议 ,无 状态 地 址 自动 配置 协议 、IPv6 封装 及 路 由 优化 等 特点 ,IPv6 不 仅 能 
够 支持 大 量 的 移动 用 户 , 且 对 移动 用 户 的 移动 管理 也 更 加 简单 有效 。 

移动 IPv6 由 以 下 几 个 部 分 组 成 : 

CD 移动 节点 (mobile node. MN); 可 更 改 链 路 并 使 用 其 家 乡 地 址 (home address) fi 
持 可 连接 性 的 IPv6 节点 。 

(2) 家 乡 链 路 (home link): 生成 移动 节点 的 链 路 。 

(3) 家 乡 地 址 (home of address) : 分 配给 连接 到 家 乡 链 路 的 移动 节点 的 地 址 ,而 且 通 过 
该 地 址 始终 可 以 访问 相应 的 移动 节点 ,无 论 其 在 IPv6 网 络 上 位 于 何 处 。 由 于 家 乡 地 址 总 是 
分 配给 移动 节点 ,因此 移动 节点 在 逻辑 上 总 是 连接 到 家 乡 链 路 。 
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(4) 家 乡 代 理 (home agent. HA): 家 乡 链 路 上 的 一 台 路 由 器 ,保存 离开 家 乡 地 址 的 移 
动 节点 的 注册 信息 及 其 当前 地 址 。 虽 然 家 乡 代 理 充 当 将 家 乡 链 路 连接 到 IPv6 网 络 的 路 由 
器 ,但 是 家 乡 代理 不 是 必须 提供 这 项 功能 ,家 乡 代理 也 可 以 是 家 乡 链 路 上 的 一 个 节点 。 

(5) 外 地 链 路 (foreign link): 不 属于 移动 节点 的 家 乡 链 路 的 链 路 。 

(6) 转交 地 址 (care-of address, CoA): 移动 节点 在 连接 到 外 地 链 路 时 所 用 的 地 址 ,移动 
节点 的 家 乡 地 址 与 转交 地 址 的 关联 称 为 绑 定 。 

(7) 通信 节点 (correspondent node, CN): 与 移动 节点 通信 的 IPv6 节点 。 通 信 节 点 不 
一 定 必须 支持 移动 IPv6 。 
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为 了 扩展 移动 IP 的 应 用 领域 ,需要 考虑 其 他 一 些 机 制 , 以 保证 访问 域 代理 能 够 验证 移 
动 节点 的 身份 ,并 基于 本 地 策略 和 合同 策略 与 远 端的 家 乡 域 代理 授权 连接 。 然 而 , 现 有 的 访 
问 控制 机 制 多 数 是 为 固定 网 络 设计 的 ,这 就 对 支持 移动 性 的 情况 提出 了 挑战 9 。 例 如 , 接 
入 网 的 认证 点 并 不 能 拥有 移动 节点 的 认证 信息 ,如 身份 . 计 费 .服务 的 级 别 等 ,这 样 将 会 导致 
阻止 认证 决策 ,中 断 请 求 甚至 丢失 请 求 。 即 使 接 入 网 中 的 认证 点 能 够 得 到 移动 节点 的 认证 
信息 ,为 了 提供 有 效 的 移动 管理 需要 考虑 其 他 一 些 重 要 问题 ,如 怎样 降低 由 于 交换 认证 信息 
而 引起 的 延迟 和 带宽 消耗 。 当 移动 节点 进入 到 一 个 新 的 子 网 时 ,由 于 临时 地 址 的 变化 以 及 
缺少 认证 信息 ,将 会 初始 化 一 个 新 的 证 明和 认证 程序 ,这 样 会 限制 移动 节点 通知 家 乡 代理 和 
通信 节点 它 目前 的 位 置 ,直到 证 明 完成 。 此 外 ,移动 IP 仅 能 够 解决 移动 节点 的 IP 路 由 ,并 
用 一 些 安全 机 制 来 保护 位 置 管理 消息 ,如 IPSec。 

基于 下 一 代 Internet 协议 ,移动 IPv6 (MIPv6) 显 示 出 一 些 新 的 重要 特征 ,使 其 比 
MIPv4 更 易于 被 接受 并 广泛 应 用 。 为 了 跟踪 移动 
节点 ,MIPv6 要 求 一 个 移动 节点 汇报 与 当前 接 入 
网 相关 的 地 址 给 家 乡 代理 和 一 些 通信 节点 ,而 优 
化 路 由 是 移动 IPv6 的 一 个 显著 特征 。 访 问 控制 
能 够 限制 用 户 访问 一 些 信息 ,并 可 以 根据 用 户 身 
份 和 预先 定义 的 规则 实施 一 些 功 能 ,一 般 情况 下 ， 
访问 控制 由 系统 管理 员 制 定 ,控制 用 户 访问 服务 、 
文件 和 网 络 资源 等 。 我 们 将 移动 网 络 下 的 访问 控 
制 分 为 两 种 类 型 ,如 图 1. 3. 1 所 示 。 图 1. 3.1 移动 Internet 环境 下 的 访问 控制 

类 型 (a) 由 一 个 单一 的 认证 点 保护 资源 ,该 认 
证 点 存储 了 认证 信息 并 检测 所 有 静态 和 移动 节点 的 访问 请 求 ,因此 ,由 于 存在 大 量 的 转交 地 
址 (care-of address,CoA) ,支持 移动 的 访问 控制 主要 是 认证 移动 节点 (mobile node, MN). 
为 了 解决 这 个 问题 ,可 以 采取 用 户 名 的 认证 。 在 类 型 (b) 中 ,多 个 认证 点 与 控制 移动 节点 交 
互 以 访问 接 人 网 的 资源 ,如 访问 服务 。 支 持 移动 网 络 的 访问 控制 过 程 如 下 : 

CD 由 于 存在 大 量 的 转交 地 址 ,移动 节点 的 身份 必须 通过 认证 ; 

(2) 由 于 每 个 认证 点 无 法 存储 所 有 移动 节点 的 认证 信息 ,如 移动 节点 在 移动 过 程 中 的 
访问 路 由 器 (access router. AR) ,因此 有 必要 交换 这 些 认证 信息 ,但 是 这 样 会 消耗 网 络 带 宽 。 
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此 外 ,等 待 认证 信息 又 会 增加 一 定 的 延迟 ,很 难保 证 信息 交换 时 的 安全 性 。 
实质 上 ,控制 移动 节点 访问 路 由 是 一 种 很 重要 的 访问 控制 机 制 , 因 此 本 节 的 重点 是 第 二 
类 访问 控制 ,下 面 提 出 的 方法 能 够 减少 信息 交换 的 代价 并 加 速 进 程 的 执行 。 


1.3.3 支持 层次 移动 IPv6 的 访问 控制 


1331 层次 移动 P6 


层次 移动 IPv6 的 目的 是 : 通过 采用 层次 型 路 由 器 结构 ,减少 移动 节点 与 家 乡 代理 和 通 
信 对 端的 信 令 交互 ,减少 切换 引起 通信 中 断 的 时 间 。HMIPv6 的 相关 术语 如 下 : 

(1) 移动 锚 点 (mobile anchor point, MAP) : 是 一 个 处 于 移动 节点 所 访问 网 络 上 的 路 由 
器 ,相当 于 移动 节点 的 本 地 家 乡 代理 ,类 似 于 移动 IPv6 中 的 家 乡 代理 。 

(2) 访问 路 由 器 (access router, AR): 移动 节点 当前 的 接 人 路 由 器 。 

(3) 区 域 转交 地 址 (regional care-of address,RCoA) : 移动 节点 从 所 访问 的 网 络 获得 的 
转交 地 址 ,是 基于 MAP 子 网 前 级 的 地 址 ,根据 移动 节点 收 到 的 MAP 选项 的 内 容 自 动 配置 ， 
只 要 移动 节点 在 同一 个 MAP 子 网 内 ,移动 节点 的 区 域 转交 地 址 就 不 会 改变 。 

(4) 链 路 转交 地 址 (on-link CoA,LCoA): 区 别 于 区 域 转交 地 址 , 它 是 基于 移动 节点 当 
前 的 默认 路 由 器 前 缀 和 移动 节点 的 接口 标识 形成 的 转交 地 址 , 它 标识 移动 节点 当前 的 确切 
位 置 。 

(5) 本 地 绑 定 更 新 (local binding update) : 移动 节点 向 MAP 发 送 本 地 绑 定 更 新 ,用 来 
在 MAP 域 里 建立 起 区 域 转 交 地 址 (RCoA) 和 链 路 转交 地 址 (LCoA) 之 间 的 绑 定 关系 。 

在 HMIPv6 中 ,移动 锚 点 (MAP) 可 以 是 HMIPv6 网 络 中 任何 层次 的 路 由 器 ,MAP 可 
以 限制 移动 IPv6 与 本 地 域 以 外 节点 的 信 令 交互 ,能够 支持 快速 移动 TP 切换 ,帮助 移动 主体 
实现 无 缝 移动 ,并 且 支 持 特定 的 移动 网 络 情况 。 移 动 主 机 通过 MAP 获得 的 地 址 是 区 域 转 
交 地 址 RCoA。 根 据 RCoA,MAP 有 两 种 模式 : 基本 模式 和 扩展 模式 。 当 一 个 移动 节点 漫 
游 到 MAP 域 时 ,移动 主机 可 以 在 MAP 的 子 网 上 形成 自己 的 RCoA , 称 为 基本 模式 ,该 模式 
只 是 对 移动 节点 的 操作 进行 扩展 ,而 没有 对 家 乡 带 理 和 通信 节点 的 操作 进行 任何 改动 ;或 者 
移动 主机 使 用 RCoA 作为 备用 的 转交 地 址 , 称 为 扩展 模式 ,该 模式 对 移动 主机 和 家 乡 代理 
的 操作 进行 了 少量 扩展 ,而 没有 对 通信 节点 的 操作 进行 修改 。 

HMIPv6 将 一 些 路 由 器 配置 在 MAP 上 ,移动 节点 MN 将 这 些 移动 锚 点 作为 本 地 家 乡 
代理 ,从 而 减少 了 骨干 网 中 本 地 注册 消息 的 数量 。 首 先 , 移 动 节点 察看 路 由 器 通告 消息 
(router advertisement messages) 以 检测 MAP 域 的 变化 ,并 用 无 状态 自动 配置 方法 分 别 配 
置 LCoA fill RCoAP*59 X MAP 选项 ;MN 要 求 MAP 在 RCoA 和 LCoA 之 间 建 立 一 个 绑 定 
实体 ,然后 MN 通知 CN 和 家 乡 代理 HA 在 RCoA 和 HoAChome of address, 家 乡 地 址 ) 之 
间 建 立 一 个 绑 定 实体 ,如 果 MN 在 本 地 MAP 中 改变 了 当前 地 址 , 它 仅 需要 在 MAP 处 注册 
新 地 址 即 可 。 因 此 ,只 有 RCoA 需要 在 CN 和 HA 中 注册 ,只 要 MN 在 MAP 域内 移动 ， 
RCoA 就 不 会 改变 。 这 样 就 使 得 节点 的 移动 性 对 CN 来 说 是 透明 的 ,由 于 MAP 能 够 处 理 
MAP 域内 移动 节点 的 本 地 注册 消息 , 极 大 地 减少 了 通信 的 代价 。 

图 1.3.2 是 CN 发送 数据 包 时 的 路 由 传输 过 程 。MAP 可 以 帮助 移动 节点 MN 在 与 
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CN 通信 时 无 缝 地 在 AR 中 移动 。 当 MN 到 达 外 地 网 络 时 ,MN 发 现 MAP 的 全 局 地 址 ,并 
FA AR ,通过 路 由 器 通告 消息 发 送 到 MN。 通 常数 据 包 被 发 送 到 家 乡 网 络 , 中 途 被 HA 获 
得 并 封装 成 RCoA. MAP 使 用 代理 邻居 通告 (proxy neighbor advertisement) 对 RCoA 中 的 
数据 包 进行 解释 ,然后 数据 包 被 封装 并 路 由 到 MN 的 LCoA。 当 CN 发 送 的 数据 包 在 本 地 
成 功 注册 后 ,通过 路 由 扩展 头 进 入 RCoA ,并 由 MAP 以 隧道 方式 转发 到 LCoA。 在 反方 向 
上 ,MN 通过 家 乡 地 址 目标 项 将 数据 包 发 送 到 CN. 


(HoA:RCoA) (HoA:RCoA) 


MAP 域 外 


SCIMAP 
4 | (LCoA:RCoA) MAP 域 内 


AR 


图 1.3.2 HMIPv6 原理 
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图 1.3.3 是 一 种 有 效 支持 IPv6 网 络 移动 性 的 访问 控制 方法 ,该 机 制 基于 层次 移动 
IPv6。 服 务 器 F_server 作为 验证 MN 身份 的 代理 并 授权 每 个 MAP 域 。 在 MN 的 家 乡 网 
络 中 ,服务 器 为 H_server,F_server 通过 询问 H_server 以 获得 本 地 MAP 域 中 MN 的 认证 
信息 。 这 里 需要 一 种 机 制 来 保证 F_server 和 H_server 信息 存储 的 同步 性 。 需 要 注意 的 
是 ,这 两 种 服务 器 在 网 络 拓扑 中 是 逻辑 配置 的 。 


人 HoA:RCoA) ~\ 
(HoA:RCoA) B N Ee Oo E 
Wu /j o -MAP 域 外 


EN H. Server 


MAP ke 


F_Server 


图 1.3.3 支持 层次 移动 IPv6 的 访问 控制 框架 


当 MN 进入 MAP 域内 时 ,AR 通过 咨询 F_server 控制 MN 对 网 络 的 访问 。 另 一 方面 ， 
数据 包 发 送 到 MAP 域内 后 被 MAP 捕获 ,将 数据 包 解 封 并 询问 F_server 是 否 转发 或 丢弃 
该 数据 包 。 
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通过 这 两 个 服务 器 可 以 看 到 , 当 MN 漫游 在 一 个 MAP 域内 时 ,RCoA 作为 MN 的 信 标 
是 保持 不 变 的 。 当 MN 第 一 次 进入 到 MAP 域内 时 ,自动 配置 协议 会 给 MN 初始 一 个 
RCoA 和 LCoA, 然 后 MAP 触发 F_server 询问 MN 所 在 HA 域内 的 H_server, 以 获得 用 户 
的 信息 ,然后 MN 在 HA fll MAP 中 进行 本 地 绑 定 或 更 新 。 当 MN 的 AR 发 生变 化 , 且 只 有 
当 一 些 信息 被 更 新 时 ,F_server 和 H_server 之 间 的 协商 才能 够 执行 ,这 样 就 极 大 地 降低 了 
由 移动 管理 访问 控制 所 引起 的 代价 。 

考虑 到 HMIPv6 的 层次 性 ,这 里 提出 了 两 层 访问 控制 结构 。 对 于 底层 访问 控制 ,根据 
本 地 策略 对 MN 进行 认证 ,以 授权 MN 访问 MAP 域 的 资源 。 对 于 上 层 访问 控制 ,根据 
H_server 的 本 地 策略 和 远程 策略 ,通过 认证 后 的 MN 可 以 访问 MAP 域 以 外 的 资源 。 在 底 
层 访 问 控制 中 ,F_server 作为 一 个 中 心 节点 管理 所 有 MAP 域内 的 移动 节点 ,并 响应 AR 的 
TAR. HF AR 独立 地 执行 访问 控制 。 这 里 主要 介绍 上 层 访问 控制 。 
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除了 认证 信息 外 ,我 们 需要 对 H_server 和 下 _server 这 两 个 数据 结构 进行 介绍 ,如 
图 1.3.4 所 示 。 在 F_server 的 数据 结构 中 需要 记录 移 
动 到 该 域 的 MN 的 H_server 和 时 间 戳 ,时 间 戳 的 功能 
是 保持 认证 信息 被 周期 性 地 更 新 。H_server 的 数据 结 MA MS Eserver nium 
构 与 F_server 的 类 似 , 很 明显 ,F_server 的 时 间 戳 低 于 
H server 的 时 间 戳 。 过 期 的 时 间 戳 将 会 从 F_server 中 F_server 表 
删除 。 
获得 H _ server Wn] Fo server 地 址 的 方法 是 修改 RoA E H server KFIR 
MAP 和 HA 的 协议 进程 。 当 MN 进入 MAP 域 时 ， 
MAP 向 HA 发 送 请 求 并 询问 MN 的 认证 信息 ,HA 将 图 1.3.4 基本 的 数据 结构 
询问 转发 到 H_server, 询 问 的 内 容 包括 F_server 的 地 址 
和 MN 的 身份 。MAP 通过 本 地 位 置 注册 或 F_server 的 间接 通知 来 检测 新 来 的 MN, 但 是 
F_server 的 间接 通知 并 不 能 获得 任何 MN 的 认证 信息 。MAP 获得 MN 的 HA 地 址 是 比较 
困难 的 ,虽然 获得 HA 地 址 并 不 能 有 效 地 分 析 MN 发 送 数 据 包 的 协议 结构 ,但 是 由 于 仅 当 
有 新 来 的 MN 时 ,进程 才 被 执行 ,因此 这 里 将 采用 这 种 方法 。 
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假设 在 本 地 访问 控制 系统 中 , MN 能 够 使 用 MAP 域内 的 资源 ,其 关键 协议 步 如 
图 1,3.5 所 示 。 

Step 1. MN 通过 分 析 信 标 消 息 执行 移动 检测 ,如 由 AR 发 送 的 路 由 器 通告 。 当 MN 进 
和 一 个 新 的 MAP 域内 时 ,MN 通过 自动 配置 协议 获得 两 个 新 地 址 : LCoA 和 RCoA。 

Step 2. MN 分 别 与 MAP 和 HA 启动 本 地 和 全 局 位 置 注册 (location registration) 进 
程 。 如 果 访 问 控制 系统 正在 运行 , 则 全 局 位 置 注册 可 能 会 失败 。 通 过 分 组 域 ,MAP 获得 
MN 的 HA 地 址 。 

Step 3. MAP 向 F_server 发 送 请 求 ,询问 MN 的 认证 信息 。 如 果 没 有 获得 有 用 的 信 
息 , 则 MAP 认为 MN 是 一 个 新 加 入 的 节点 ,也 可 以 通过 本 地 绑 定 缓存 查询 MN 的 认证 


H_server # 
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MN AR MAP F_server HA H_server 
信 标 
配置 LCoA | 本 地 位 置 注册 
和 RCoA 
Se T. 
(HCoA:RCoA) 
获得 HA 地 址 
auth_query (RCoA, 
authority) 
无 认证 信息 Info query (HoA,RCoA， 
F. server) | 
临时 绑 定 
(HCoA,RCoA) 
Info query (HoA, 
Ack (HoA, H . server, F-server) 
information) 
Ack _ authority 更 新 记录 
(RCoA, authority) 
保持 本 地 [保持 信息 有 效 = 
L 注册 信息 有 效 
保持 全 局 注册 信息 有 效 
图 1.3.5 协议 步 
信息 。 


Step 4. MAP 向 HA 发 送 请 求 , 询 问 MN 认证 信息 ,该 信息 包括 HoA,RCoA 和 
F_server 的 地 址 。 

Step 5. HA 在 HCoA 和 RCoA 之 间 建 立 一 个 临时 绑 定 项 , 即 MAP 使 用 全 局 位 置 注册 
来 代表 MN, 以 减少 交换 认证 信息 引起 的 延迟 。 

Step 6. HA 转发 请 求 给 H_server。 

Step 7. H server 向 F_server 发 送 MN 的 认证 信息 作为 回答 。 

Step 8. F_server 更 新 自己 的 记录 ,并 通知 MAP 和 通信 节点 执行 访问 控制 。 

Step 9. F_server 和 H_server 直接 交换 认证 信息 以 保证 信息 的 有 效 性 。 

Step 10. MN 周期 性 地 向 MAP 汇报 自己 的 本 地 位 置 , 更 新 全 局 位 置 并 直接 绑 定 在 
HA E. 


1.3.4 方案 的 扩展 与 分 析 


如 上 文 所 述 , 当 将 访问 控制 系统 和 移动 管理 相 结合 时 ,减少 网 络 的 带宽 和 切换 延迟 是 很 
重要 的 。 在 本 节 提 出 的 方法 中 ,通过 HMIPv6 的 本 地 移动 管理 减少 了 交换 MN 认证 信息 的 
数量 。 同 时 ,MAP 可 以 在 HA 建立 一 个 临时 位 置 绑 定 来 代表 MN ,这 样 , 当 MN 的 MAP 域 
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发 生 改变 时 ,更 新 HA 绑 定 的 延迟 会 大 大 改善 。 

然而 ,等 待 认证 信息 又 增加 了 在 CN 绑 定 的 延迟 时 间 。 为 了 减少 MAP 域 之 间 的 切换 
时 间 ,我 们 需要 一 种 新 的 访问 控制 方法 ,这 里 采取 用 户 信 息 中 转 的 方式 ,如 图 1. 3. 6 所 示 ,新 
的 F_server 能 够 从 邻近 的 旧 F_server 中 获得 MN 的 信息 。 为 了 实现 这 种 机 制 ,一 种 方法 是 
当前 的 F_server 请 求 旧 F_server 转发 新 加 入 移动 节点 的 认证 信息 ,但 是 如 果 不 更 改 移动 节 
点 的 协议 栈 , 当 前 F_server 很 难 获得 旧 F_server 的 地 址 。 另 一 种 简单 的 方法 是 在 MAP 切 
换 时 间 增 加 之 前 ,让 F_server 通告 新 加 入 MN 的 认证 信息 到 邻近 的 F_server, 这 里 需要 一 
些 移动 预报 算法 以 限制 通告 消息 的 数量 *] 。 


(HoA:RCoA) (HoA:RCoA) 
= HA 
H_server CN 
: | 
MAPO ; MAPI; MAP2 
F_server0 Fi server Eiserver2 
EE | i L| 
: MNO 
Relay_query( ) 
i 
Relay_ack( ) 
io A 
一 - - -— 
Domain 0 | Domain 1 Domain 2 


图 1.3.6 通过 旧 F server 中 转 用 户 信息 


用 户 信息 的 安全 性 也 是 很 重要 的 ,在 1.3.3 节 介绍 的 方法 中 ,F_server 需要 从 
H_server 中 获得 认证 信息 ,这 里 必须 确保 保密 性 .完整 性 和 有 效 性 。 与 移动 IP 类 似 ， 
IPSec531 可 以 用 来 在 F_server 和 H_server 之 间 建 立 一 个 安全 通道 。 由 于 F_server 和 
H_server 被 定义 为 逻辑 实体 ,因此 可 以 安装 在 适当 的 节点 中 。 如 果 将 MAP 和 HA 分 别 配置 
成 F_server 和 H_server, 记 录 缓 存 可 用 来 保存 记忆 ,这 样 就 会 降低 建立 安全 通道 的 复杂 性 。 

基于 HMIPv6 结构 的 访问 控制 方法 能 够 支持 IPv6 网 络 的 移动 性 ,F_ server 和 
H_server 的 引入 减少 了 切换 时 间 和 管理 的 代价 。 此 外 ,可 以 对 该 方法 进行 改进 ,如 在 本 地 
中 转 用 户 信息 ,这 样 可 以 进一步 提高 通信 效率 ,或 设计 一 些 具体 的 协议 ,以 保证 F_server 和 
H_server 之 间 能 够 安全 地 交换 信息 。 
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随 着 计算 技术 的 普及 ,计算 机 系统 应 用 日 益 广泛 。 由 于 计算 机 系统 处 理 的 任务 多 样 化 ， 
计算 机 系统 的 工作 环境 普 适 化 ,计算 机 系统 也 越 来 越 复杂 ,面临 的 各 种 人 为 和 非 人 为 的 威胁 
也 越 来 越 多 ,如 恶意 攻击 ,垃圾 邮件 .计算 机 病毒 等 ,导致 人 们 对 网 络 的 不 信任 。 计 算 机 系统 
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能 否 正 确 、 安 全 ,高效 地 完成 指定 任务 , 即 能 否 提供 可 信赖 的 服务 能 力 , 将 成 为 研究 人 员 关 心 
的 主要 问题 之 一 。 计 算 机 系统 这 种 提供 可 信赖 服务 的 能 力 就 是 可 信 性 ,如 何 确保 计算 机 网 
络 的 可 信 性 是 未 来 计算 新 的 研究 方向 。 可 信和 网 络 是 可 信 计 算 发 展 的 必然 趋势 ,是 下 一 代 互 
联网 发 展 的 必然 目标 5 。 


1.4.1 可 信 网 络 


可 信和 网 络 借鉴 了 系统 可 信 性 的 概念 ,将 传统 孤立 的 研究 内 容 融 合 到 网 络 可 信 这 一 目标 
下 ,面向 用 户 提供 系统 的 安全 服务 。 
可 信 性 (trustworthiness) 比 安全 性 更 富有 广泛 的 技术 内 涵 , 在 一 定 程度 上 前 者 比 后 者 
更 为 重要 。 这 是 信息 安全 研究 领域 近来 取得 的 一 个 新 共识 。 可 信和 的 互联 网 络 应 该 具有 如 下 
特性 : 

(1) 实现 传统 意义 上 的 安全 性 , 即 系统 和 信息 的 保密 性 (confidentiality)、 完 整 性 
Cintegrity)、 可 用 性 (availability); 

(2) 真实 性 (authenticity) , 即 用 户 身份 .信息 来 源 、 信 息 内 容 的 真实 性 ; 

(3) 可 审计 性 (accountability) , 即 网 络 实体 发 起 的 任何 行为 都 可 追踪 到 实体 本 身 ; 

(4) 私密 性 (privacy) , 即 用 户 的 隐私 是 受到 保护 的 , 某 些 应 用 是 可 匿名 的 s 

(5) 可 生存 性 (survivability) ,在 系统 故障 、 恶 意 攻 击 的 环境 中 ,能 够 提供 有 效 的 服务 ; 

(6) 可 控 性 (controllability) ,是 指 对 违反 网 络 安全 政策 (security policy) 的 行为 具有 控 
制 能 力 。 

从 理论 上 讲 , 根 本 上 消除 脆弱 性 、 企 图 设计 并 实现 一 个 绝对 安全 的 互联 网 络 是 不 切实 际 
的 。 但 新 一 代 互 联网 络 需 要 从 体系 结构 上 为 可 信 性 付出 必要 的 努力 ,至 少将 安全 完全 建立 
在 对 用 户 绝对 信任 基础 上 的 假设 是 不 能 再 成 立 的 。 
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自 20 世纪 60 年 代 以 来 ,互联 网 络 在 规模 和 应 用 领域 上 日 益 得 到 拓展 , 随 着 传感器 、 钳 
入 式 设备 .消费 电子 等 设施 的 大 量 接 入 ,网 络 的 规模 仍 在 继续 膨胀 。 我 国电 信 、 人 金融、 科教 、 
交通 等 网 络 莲 勃 发 展 , 尤 其 是 近年 来 电子 商务 和 电子 政务 等 网 络 应 用 的 出 现 ,突破 了 传统 领 
域 的 网 络 应 用 形式 ,网 络 在 国民 经 济 生活 中 的 基础 性 ,全 局 性 作用 日 益 增 强 。 尽 管 互联 网 已 
经 转变 并 极 大 地 改善 了 人 类 社会 经 济 生活 的 方式 ,但 同时 也 不 得 不 面临 大 量 的 网 络 安全 问 
题 ,如 恶意 攻击 .垃圾 邮件 .计算 机 病毒 ,不 健康 资讯 等 .这些 都 导致 人 们 对 网 络 的 不 信任 。 

根据 中 国 互联 网 信息 中 心 CCNNIC)2008 年 1 月 公布 的 第 21 次 《中国 互联 网 络 发 展 状 
况 统计 报告 》: 截至 2007 年 12 月 ,网 民 数 已 增 至 2. 1 亿 人 。 中 国 网 民 数 增长 迅速 ,与 2007 
年 6 月 相 比 增加 了 4800 万 人 , 2007 年 一 年 则 增加 了 7300 万 人 ,年 增长 率 达 到 
53.326, IP 地 址 和 域名 是 互联 网 的 基础 地 址 资源 ,年 增长 率 分 别 达 到 了 38% M 190.4%, 
保证 了 互联 网 发 展 的 平稳 进行 。CN 域名 数 2007 年 一 年 增加 了 4 倍 。 网 站 数 、 网 页 数 和 网 
页 字 节 数 超过 60%% 的 增长 速度 ,反映 了 网 上 信息 资源 的 增加 速度 很 快 ,网 民 可 以 享用 的 信 
息 资 源 越 来 越 丰富 。 

根据 国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 (CNCERT/CC)2007 年 网 络 安全 工作 报 
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告 ,2007 年 ,我 国 公 共 互 联网 整体 上 运行 基本 正常 ,但 从 CNCERT/CC 接受 和 监测 的 各 类 
网 络 安全 事件 情况 可 以 看 出 ,网 络 信息 系统 存在 的 安全 漏洞 和 隐患 层出不穷 ,网 络 攻击 的 种 
类 和 数量 成 倍增 长 ,基础 网 络 和 重要 信息 系统 面临 着 严峻 的 安全 威胁 。2007 年 网 络 安全 事 
件 主要 有 网络 仿冒 垃圾 邮件 和 网 页 恶意 代码 事件 等 ,根据 报告 的 事件 类 型 的 统计 情况 如 
图 1.4.1 所 示 。 


病毒 、 蠕 虫 或 森马， 拒绝 服务 功 击 , 23, 1% 
345, 8% 


漏洞 ,348, 8% 


网 络 仿冒 
1326, 30% 


网 页 恶意 代码 
1151, 26% 


垃圾 邮件 ,1197, 27% 
图 1.4.1 2007 年 CNCERT/CC 事件 报告 类 型 分 布 


与 2006 年 相 比 ,主要 类 型 的 安全 事件 数量 均 近 成 倍增 加 ,网 络 仿 冒 事件 数量 由 563 件 
增加 至 1326 件 , 增 长 近 1.4 倍 ; 垃 圾 邮件 事件 数量 由 587 件 增加 至 1197 件 , 增 长 达 1 倍 ;网 
页 恶意 代码 事件 数量 由 320 件 增加 至 1151 件 , 增 长 近 2.6 倍 。 出 现 如 此 众多 的 攻击 和 破坏 
行为 的 最 主要 、 最 根本 原因 是 网 络 系统 存在 可 以 被 渗透 的 脆弱 性 ,或 称 作 安全 漏洞 。 脆 弱 性 
的 来 源 是 多 方面 的 ,存在 于 系统 设计 、 实 现 . 运 行 和 管理 的 各 个 环节 。 长 期 以 来 网 络 体系 结 
构 的 研究 主要 考虑 了 如 何 提高 数据 传输 的 效率 ,构成 Internet 的 一 些 早 期 网 络 协议 也 很 少 
考虑 安全 问题 ,而且 Internet 在 拓扑 和 新 生 技术 等 方面 都 是 动态 发 展 的 ,加 之 网 络 的 开放 
性 ,使 得 发 起 攻击 一 般 是 很 迅速 ,很 容易 和 廉价 的 ,并 且 难 以 检测 和 追踪 。 即 便 网 络 体系 结 
构 设 计 得 很 完美 ,设备 软件 硬件 在 实现 过 程 中 的 脆弱 性 也 不 可 能 完全 避免 。 此 外 ,Internet 
的 爆炸 性 发 展 ,为 了 保障 网 络 的 安全 运行 客观 上 需要 大 批 训练 有 素 、 经 验 丰富 的 网 络 管理 工 
BEA A ,然而 现实 并 没有 得 到 满足 ,造成 大 量 的 人 为 操作 失误 ,安全 机 制 和 管理 政策 之 间 的 
不 一 致 性 也 时 常 出 现 。 

尽管 信息 网 络 的 安全 研究 已 经 持续 多 年 ,但 对 网 络 攻击 和 破坏 行为 的 对 抗 效果 并 不 理 
想 ,仍然 面临 着 严峻 的 挑战 。 现 有 以 防火 墙 \, 人 侵 检测 和 病毒 防范 等 组 成 的 网 络 安全 系统 ， 
在 功能 上 孤立 、 单 一 ,大 多 只 能 对 抗 已 知 攻击 .缺少 对 网 络 系统 故障 和 人 为 操作 失误 等 因素 
的 处 理 , 在 体系 结构 上 多 是 外 在 附加 、 被 动 地 防御 ,未 能 解决 脆弱 性 的 本 源 问题 ,无 法 应 对 具 
有 多 样 、 随 机 、 隐 蔽 和 传播 等 特点 的 攻击 和 破坏 行为 ,而 且 安全 系统 自身 的 安全 可 靠 性 未 得 
到 保证 。 另 一 方面 ,客观 存在 的 网 络 攻击 方式 呈现 出 智能 化 系统 化 、 综 合 化 趋势 ,新 的 攻击 
方式 不 断 涌 现 , 势 必 造 成 当前 的 安全 系统 规则 膨胀 . 误 报 率 增多 、 安 全 投入 不 断 增 加 、 维 护 与 
管理 复杂 甚至 难以 实施 , 极 大 地 降低 了 信息 系统 的 使 用 效率 。 

事实 上 ,就 整个 网 络 安 全 需求 而 言 ,许多 问题 的 研究 是 相关 联 的 ,分 散 孤 立 的 应 对 方式 
显然 不 可 取 55 。 如 何在 网 络 复杂 异 构 的 环境 下 ,提供 一 致 的 安全 服务 体系 结构 ,如 何在 网 
络 固有 的 脆弱 性 .人 为 的 操作 失误 和 管理 漏洞 以 及 网 络 攻击 和 破坏 客观 存在 的 状况 下 ,保障 
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网 络 服务 的 可 生存 性 ,如 何在 保证 网 络 高 效 互通 的 基础 上 ,提供 强大 的 监控 能 力 , 都 是 必须 
综合 考虑 的 重要 问题 。 正 如 美国 工程 院 院士 David Patterson 教授 所 指出 的 ,过 去 的 研究 以 
追求 高 效 行 为 为 目标 ,而 今天 计算 机 系统 需要 建立 高 可 信和 的 网 络 服务 ,可 信 性 必须 成 为 可 以 
衡量 和 验证 的 性 能 5 。 构 建 一 个 安全 .可 生存 和 可 控 的 可 信和 网 络 正在 成 为 人 们 关注 的 

解决 人 们 对 网 络 日 益 增 加 的 依赖 性 与 安全 服务 能 力 的 有 限 性 之 间 的 矛盾 ,是 进一步 推 
进 网 络 理论 技术 研究 ,提高 网 络 建设 及 应 用 水 平 的 重大 问题 。 现 实 的 发 展 对 网 络 安全 提出 
了 更 高 的 要 求 ,希望 在 保障 信息 私密 性 、 完 整 性 和 可 用 性 的 同时 ,能 够 保障 网 络 系统 的 安全 
性 、 可 生存 性 和 可 控 性 。 然 而 ,目前 互联 网 中 普遍 存在 的 脆弱 性 导致 了 它 是 不 可 完全 信任 
的 。 未 来 的 网 络 安全 供给 模式 应 该 是 提供 系统 的 安全 服务 ,一 方面 安全 应 成 为 戏 和 人 到 网 络 
内 部 的 一 种 服务 ,同时 要 从 体系 结构 的 设计 上 保障 网 络 服务 的 安全 持续 。 这 也 是 我 们 研究 
可 信 网 络 的 重要 目标 。 

尽管 人 们 提出 可 信 系 统 的 概念 已 经 有 一 段 历史 ,增强 计算 机 终端 可 信人 性 的 可 信 计 算 
也 是 近年 来 的 一 个 研究 热点 ,但 是 国际 上 对 可 信和 网 络 的 探索 刚刚 开始 ,基本 概念 和 科学 
问题 的 认识 还 不 够 深入 。 目 前 国际 上 对 可 信 性 比较 有 代表 性 的 阐述 主要 有 : ISO/IEC 
15408 标准 中 指出 ,一 个 可 信 的 组 件 、 操 作 或 过 程 的 行为 在 任意 操作 条 件 下 是 可 预测 的 ， 
并 能 很 好 地 抵抗 应 用 程序 软件 ,病毒 以 及 一 定 物 理 干扰 所 造成 的 破坏 ;微软 公司 的 
比尔 。 盖 茨 认为 可 信 计 算是 一 种 可 以 随时 获得 的 可 靠 安 全 的 计算 ,并 包括 人 类 信任 计算 
机 的 程度 ,就 像 使 用 电力 系统 .电话 那样 自由 、 安 全 5 ;Algridas 和 Laprie 等 人 则 将 可 信和 性 
表述 为 系统 提供 的 服务 可 以 被 论证 为 可 信任 的 ,系统 能 够 避免 出 现 不 能 接受 的 频繁 或 严 
重 的 服务 失效 5 。 

一 个 可 信 的 网 络 其 行为 及 结果 是 可 以 预期 的 ,能 够 做 到 行为 状态 可 监测 ,行为 结果 可 评 
估 、 异 常 行为 可 控制 。 具 体 而 言 ,网 络 的 可 信 性 应 该 包括 一 组 属性 ,从 用 户 的 角度 需要 保障 
服务 的 安全 性 和 可 生存 性 ,从 设计 的 角度 则 需要 提供 网 络 的 可 控 性 。 不 同 于 安全 性 、 可 生存 
性 和 可 控 性 在 传统 意义 上 分 散 、 孤 立 的 概念 内 涵 , 可 信和 网 络 将 在 网 络 可 信 的 目标 下 融合 这 3 
个 基本 属性 ,围绕 网 络 组 件 间 信任 的 维护 和 行为 控制 形成 一 个 有 机 整体 。 

如 图 1. 4. 2 所 示 ,信任 信息 的 维护 过 程 可 以 分 为 信任 信息 输入 、 信 任 信息 处 理 和 信任 等 
级 或 策略 输出 这 3 个 部 分 。 信 任 信 息 采 集 提供 具体 的 输入 方式 ,主要 包括 : 集中 式 安 全 检 
测 , 即 通过 在 网 络 中 设置 专门 的 服务 器 ,对 某 个 范围 内 的 网 络 节点 进行 脆弱 性 检测 等 信任 信 
息 的 采集 ,其 特点 是 网 络 结构 简单 ,但 是 可 扩展 性 相对 于 分 布 式 节点 的 自 检 方式 较 差 ; 分 布 
式 节点 自 检 , 即 将 部 分 监测 功能 交 由 网 络 节点 中 的 代理 完成 ,网 络 只 负责 接收 检测 结果 ,其 
特点 是 工作 效率 高 ,但 是 控制 机 制 较为 复杂 ;第 三 方 通告 , 即 由 于 不 能 直接 对 被 测 节 点 进行 
检测 等 原因 ,而 间接 地 获得 有 关 信 息 。 

信任 信息 经 过 存储 、 传 播 和 分 析 后 ,通过 信任 等 级 和 策略 输出 用 于 驱动 和 协调 需要 采取 
的 行为 控制 。 典 型 的 行为 控制 方式 有 : 访问 控制 , 即 开放 或 禁止 网 络 节点 对 被 防护 网 络 资 
源 的 全 部 或 部 分 访问 权限 ,从 而 能 够 对 抗 那些 具有 传播 性 的 网 络 攻击 ;攻击 预警 , 即 向 被 监 
控 对 象 通知 其 潜在 的 易于 被 攻击 和 破坏 的 脆弱 性 ,并 在 网 络 上 发 布 可 信 性 评估 结果 ,报告 正 
在 遭受 破坏 的 节点 或 服务 ;生存 行为 , 即 在 网 络 设施 上 调度 服务 资源 ,根据 系统 工作 状态 进 
行 服务 能 力 的 自 适应 调整 以 及 故障 的 恢复 等 :免疫 隔离 , 即 根据 被 保护 对 象 可 信和 性 的 分 析 结 
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图 1.4.2 可 信 网 络 的 信任 维护 与 行为 控制 


果 , 提 供 到 网 络 不 同 级 别 的 接纳 服务 。 不 同 于 访问 控制 主要 针对 的 是 防护 区 域外 具有 攻击 
和 破坏 性 的 节点 及 行为 ,免疫 隔离 更 多 的 是 在 攻击 和 破坏 行为 出 现 前 主动 对 防护 区 域内 的 
设施 进行 处 理 。 

可 信 网 络 3 个 基本 属性 的 紧密 联系 体现 在 : 

CD 通过 可 信和 网 络 安全 体系 结构 设计 ,改变 传统 打 补 丁 、 附 加 的 安全 供给 模式 ,降低 整 
个 信任 信息 维护 链 体系 结构 设计 上 的 脆弱 性 ,支持 多 样 的 信任 信息 采集 方式 ,保障 信任 信息 
可 靠 而 有 效 地 传播 ,并 能 有 效 地 协同 各 种 行为 控制 方式 ,使 其 能 在 可 信 的 目标 下 得 到 融合 ; 

(2) 通过 可 生存 性 设计 ,在 系统 脆弱 性 不 可 避免 以 及 攻击 和 破坏 行为 客观 存在 的 状况 
下 ,提供 资源 调度 等 提高 服务 生存 性 的 行为 控制 ,提高 包括 安全 服务 在 内 的 关键 服务 的 持续 
能 力 ; 

(3) 通过 可 控 性 设计 ,完成 对 网 络 节点 的 监测 以 及 信任 信息 的 采集 ,根据 信任 分 析 决 策 
的 结果 实施 具体 的 访问 接纳 和 攻击 预警 等 行为 控制 手段 ,从 而 建立 起 内 在 关联 的 异常 行为 
控制 体系 ,结束 当前 安全 系统 分 散 、 孤 立 的 局 面 ,全 面 提升 对 恶意 攻击 和 非 恶 意 破坏 行为 的 
对 抗 能 力 。 当 然 , 还 需要 建立 网 络 与 用 户 行为 的 可 信 模 型 ,为 信任 信息 的 分 析 决 策 、 行 为 控 
制 方式 的 选择 及 实施 效果 的 评估 提供 判 据 。 
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建立 包括 网 络 的 脆弱 性 分 析 以 及 用 户 攻 击 行为 描述 等 内 容 的 可 信 模 型 理论 ,是 进行 可 
信和 性 评估 、 区 分 网 络 是 否 被 正常 使 用 的 基础 ,也 是 对 抗 攻击 的 前 提 。 可 信 模 型 要 能 抽象 而 准 
确 地 描述 系统 的 可 信和 需求 且 不 涉及 具体 实现 细节 ,并 可 通过 数学 模型 的 分 析 方 法 找到 系统 
在 安全 上 的 漏洞 。 可 信和 模型 的 形式 化 描述 、 验 证 和 利用 能 够 提高 网 络 系统 安全 的 可 信和 度 。 
然而 现时 的 网 络 已 经 演变 成 为 一 个 庞大 的 非 线性 复杂 系统 ,网 络 节点 间 的 协议 交互 以 及 用 
户 之 间 的 合作 与 竞争 ,使 网 络 行为 呈现 出 相当 的 复杂 性 和 非 线性 ,而且 攻 击 和 破坏 行为 也 呈 
现 出 多 样 .随机 、 隐 项 和 传播 等 特点 ,从 而 难以 预测 .分 析 和 研究 。 另 一 方面 ,传统 理论 方法 
有 具有 局 限 性 ,难以 建立 描述 网 络 和 用 户 行为 的 可 信 模 型。 这 需要 借助 现 有 的 基础 理论 并 创 
建新 的 理论 ,开发 新 的 研究 方法 ,才能 逐步 解决 。 

已 有 基于 规则 的 脆弱 性 分 析 方 法 是 从 已 知 的 案例 中 抽取 特征 ,并 归纳 成 规则 表达 ,将 目 
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标 系统 与 已 有 的 规则 一 一 匹配 。 因 此 ,规则 的 生成 是 十 分 关键 的 。 对 于 单个 的 系统 组 件 , 生 
成 规则 可 能 并 不 困难 ,但 是 对 于 一 个 庞大 而 复杂 的 网 络 系统 ,就 需要 对 大 量 系 统 组 件 的 交互 
关系 相当 了 解 才 可 能 归纳 出 所 需要 的 规则 。 显 然 , 这 在 操作 上 是 相当 困难 的 。 此 外 ,基于 规 
则 的 方法 也 只 能 描述 已 知 攻击 方式 的 行为 ,难以 应 对 攻击 方式 繁多 .频繁 异 变 的 状况 。 基 于 
模型 的 脆弱 性 方法 为 整个 系统 建立 模型 ,通过 模型 可 以 获得 系统 所 有 可 能 的 行为 和 状态 , 利 
用 模型 分 析 工 具 产生 测试 例 , 对 系统 整体 的 可 信人 性 进行 评估 。 模 型 的 建立 比 规则 的 抽取 要 
简单 ,而 且 能 够 发 现 未 知 的 攻击 模式 和 系统 脆弱 性 ,因而 适合 于 对 系统 进行 整体 评估 。 基 于 
模型 方法 的 关键 在 于 模型 的 建立 。 如 果 模 型 过 于 简单 ,不 能 清晰 描述 系统 可 能 的 行为 , 则 会 
导致 评估 结果 不 全 面 ;相反 ,如 果 模 型 过 于 复杂 , 则 可 能 导致 评估 十 分 困难 。 

尽管 使 用 模型 来 定量 评估 计算 机 系统 的 可 靠 性 ,在 理论 和 技术 上 已 经 有 了 较 长 的 发 展 
历史 ,如 各 种 组 合 方法 .马尔 可 夫 回 报 模型 .离散 事件 仿真 等 ,但 是 网 络 系统 的 安全 评估 大 多 
还 是 采用 形式 化 方法 对 整体 设计 的 局 部 进行 分 析 , 缺 乏 定量 的 评估 模型 。 如 果 将 网 络 攻击 
和 破坏 行为 也 理解 为 影响 系统 可 靠 性 的 故障 因素 , 则 基于 模型 的 系统 可 靠 性 的 评估 方法 有 
可 能 用 于 评估 网 络 系统 可 信 性 。 但 是 ,需要 注意 的 是 ,攻击 和 破坏 行为 具有 人 为 主观 性 ,而 
一 般 意义 上 的 系统 故障 具有 很 强 的 偶然 性 ,因此 模型 评估 方法 急需 拓展 fs" 。 
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互联 网 在 设计 之 初 对 安全 问题 考虑 不 足 , 是 导致 当前 网 络 众多 脆弱 性 的 一 个 重要 因素 。 
一 段 时 间 以 来 网 络 体系 结构 的 研究 过 度 集 中 于 如 何 提高 数据 传输 的 效率 ,形成 了 如 今 核心 
简单 .边缘 复杂 的 Internet 体系 模型 。 这 种 核心 网 络 的 简单 性 方便 了 新 业务 的 部 署 ,但 同时 
造成 核心 网 络 对 业务 过 于 透明 ,基本 不 存在 特定 于 应 用 的 运行 模式 ,导致 难以 检测 到 应 用 业 
务 层面 出 现 的 问题 ,更 难 将 攻击 行为 和 新 业务 区 分 开 来 。 

此 外 ,网 络 安 全 已 经 超出 传统 信息 安全 的 可 用 性 、 完 整 性 和 私密 性 的 内 涵 , 服 务 的 安全 
作为 一 个 整体 属性 为 用 户 所 感知 的 趋势 日 益 凸现 。 然 而 目前 的 许多 网 络 安全 设计 很 少 触及 
体系 结构 的 核心 内 容 , 大 多 是 单一 的 防御 .单一 的 信息 安全 和 打 补 丁 附加 的 机 制 ,遵从 * 堵 漏 
洞 做 高 墙 \ 防 外 攻 ” 的 建设 样式 ,以 共享 信息 资源 为 中 心 , 在 外 围 对 非法 用 户 和 越权 访问 进 
行 封 堵 , 以 达到 防止 外 部 攻击 的 目的 。 在 攻击 方式 出 现 复合 交织 的 趋势 下 ,当前 的 安全 系统 
将 变 得 越 来 越 腔 肿 , 严 重地 降低 了 网 络 性 能 ,甚至 破坏 了 系统 设计 开放 性 、 简 单 性 的 原则 。 
Jf EL ,安全 系统 自身 在 设计 ,实施 和 管理 各 个 环节 上 也 不 可 避免 地 存在 着 脆弱 性 ,严重 影响 
了 其 功效 的 发 挥 。 因 此 基于 这 些 附 加 的 、 被 动 防御 的 安全 机 制 上 的 网 络 安全 是 不 可 信 的 。 
另 一 方面 ,网 络 安全 研究 的 理念 已 经 从 被 动 防御 转向 了 积极 防御 ,需要 从 访问 源 端 进行 安全 
分 析 , 尽 可 能 地 将 不 信任 的 访问 操作 控制 在 源 端 "。 因 此 ,可 信和 网 络 的 研究 必须 重新 审视 
互联 网 的 体系 结构 设计 ,减少 系统 脆弱 性 并 提供 系统 的 安全 服务 。 尽 管 在 开放 式 系统 互联 
参考 模型 扩展 部 分 增加 了 有 关 安 全 体系 结构 的 描述 ,但 只 是 给 出 了 一 个 概念 性 的 框架 且 不 
完善 外。 目前 广泛 使 用 的 TCP/IP 协议 也 缺乏 完整 的 安全 参考 模型 ,不 能 在 实现 网 络 可 信 
这 一 目标 下 ,融合 安全 性 、 可 生存 性 和 可 控 性 。 

可 信和 网 络 体系 结构 研究 必须 充分 认识 到 网 络 的 复杂 异 构 性 ,从 系统 的 角度 保障 安全 服 
务 的 一 致 性 。 现 实 的 互联 网 涵盖 了 不 同类 型 的 传输 技术 ,如 有 线 和 无 线 , 存 在 着 不 同属 性 的 
业务 ,如 数据 、 图 像 \ 语 音 和 视频 。 这 些 差 异 可 能 会 形成 对 网 络 可 信 性 威胁 因素 的 不 同 关注 ， 
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然而 来 自用 户 的 安全 服务 要 求 却 是 明确 的 ,并 不 会 因为 某 个 业务 需要 跨越 几 个 无 线 和 有 线 
的 传输 路 径 而 发 生 改 变 ,当然 也 不 会 关心 提供 安全 服务 的 具体 技术 细节 。 作 为 网 络 研究 最 
有 价值 的 经 验 ,开放 系统 互联 应 该 是 可 信和 网络 体系 结构 研究 需要 遵从 的 一 个 原则 。 

图 1.4.3 给 出 了 可 信 网 络 的 一 种 可 能 的 体系 结构 模型 。 数 据 传输 平面 负责 承载 业务 ， 
并 保障 协议 的 可 信 性 。 可 信 控 制 平面 则 包括 一 组 可 信 协 议 , 提供 完备 一致 的 控制 信 令 , 实 
现 对 用 户 和 网 络 运行 信息 的 分 布 式 采 集 、 传 播 和 处 理 , 支 持 信任 信息 在 可 信用 户 间 的 共享 ， 
并 驱动 和 协调 具体 的 行为 控制 方式 。 数 据 平面 接受 可 信 控 制 平面 的 监管 ,可 信 控 制 平 面 则 
向 数据 平面 开放 某 些 访问 接口 ,从 而 使 得 业务 能 够 获知 网 络 运行 是 否 可 信 , 网 络 也 可 以 根据 
用 户 要 求 为 业务 定制 某 种 模式 的 运行 方式 ,授予 更 高 的 信任 级 别 ,体现 更 高 的 可 信保 障 
KF. 


访问 控制 、 可 信 性 分 析 、 
可 信 决 策 平 面 上 | 路 由 可 达 性 、 负 载 均 稀 
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可 信 信 息 的 收集 
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图 1.4.3 可 信和 网 络 的 一 种 体系 结构 模型 


1414 ”服务 的 可 生存 性 


可 生存 性 是 网 络 研 究 的 一 个 基本 目标 ,是 指 对 网 络 系统 基本 服务 可 用 性 的 保障 5 , 即 
在 遭受 恶意 攻击 和 发 生 故 障 时 仍 能 按照 需求 及 时 完成 任务 的 能 力 555] ,或 者 重新 配置 基本 服 
务 的 能 力 5%] 。 可 生存 性 设计 需要 使 系统 能 够 自 测试 . 自 诊断 .自修 复 和 自 组 织 ,从 而 维持 关 
键 服务 的 关键 属性 ,如 完整 性 、 机 密 性 、 性 能 等 。 安 全 服务 作为 网 络 系统 的 关键 服务 , 某 种 程 
度 的 失效 就 可 能 会 造成 整个 系统 遭受 更 大 范围 的 攻击 ,导致 更 多 服务 的 失效 甚至 是 系统 次 
痪 。 由 于 网 络 系统 固有 的 脆弱 性 以 及 人 为 的 管理 漏洞 和 操作 失误 ,完全 安全 的 网 络 系统 是 
不 可 能 存在 的 。 因 此 ,如 何在 这 样 一 个 条 件 下 , 尽 可 能 地 减少 包括 安全 服务 在 内 的 关键 
服务 的 失效 时 间 和 失效 频 度 , 并 允许 网 络 服务 的 降级 使 用 ,是 可 信和 网 络 研究 的 一 个 关键 
问题 。 

造成 网 络 服务 失效 的 因素 有 很 多 ,可 以 是 系统 运行 过 程 出 现 的 软 、 硬 件 故障 ,也 可 能 是 
网 络 攻击 或 破坏 等 用 户 行为 ,甚至 是 一 些 自然 因素 。 因 此 ,必须 在 理论 上 深入 剖析 独立 于 具 
体 因素 的 可 生存 性 的 本 质 特征 。 容 错 、 容 侵 和 面向 恢复 的 计算 是 几 种 典型 的 提高 网 络 服务 
可 生存 性 的 方式 。 容 错 主要 针对 网 络 系统 内 部 的 故障 ,采用 故障 检测 ,故障 容许 故障 纠正 
等 技术 ,减少 系统 对 外 界 用 户 表现 出 来 的 错误 的 状态 变迁 ] 。 容 侵 则 主要 对 抗 用 户 的 破坏 
和 攻击 行为 ,保障 向 合法 用 户 提供 服务 的 连续 性 ,当然 ,在 性 能 上 允许 一 定 的 衰减 Cs 。 与 容 
错 和 容 侵 主要 是 避免 服务 失效 不 同 ,面向 恢复 的 计算 则 用 于 解决 如 何在 服务 失效 后 能 够 快 
速 恢复 。 

事实 上 ,可 生存 性 在 某 种 程度 上 可 以 理解 为 对 宛 余 资 源 的 调度 问题 。 图 1. 4. 4 给 出 了 
一 种 可 生存 系统 的 体系 结构 设计 。 代 理 和 服务 器 在 功能 上 是 宛 余 的 ,并 且 各 元 余 组 件 在 
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设计 方案 和 实现 技术 上 尽 可 能 地 不 相关 。 宛 余 代 理 按照 某 种 规则 推选 或 改选 出 一 个 主 代 
理 ,负责 在 多 个 服务 器 之 间 调 度 客户 端的 任务 请 求 , 并 检查 各 服务 器 的 工作 状态 ,将 失效 服 
务 器 上 正在 进行 的 工作 重新 分 配给 另 一 个 服务 器 ,从 而 对 容 侵 系统 的 外 部 用 户 保持 服务 的 
连续 性 。 当 然 , 这 里 存在 性 能 评价 和 优化 的 问题 ,例如 如 何 用 最 小 的 资源 成 本 获得 最 大 的 可 
生存 性 能 ,以 及 针对 不 同 的 资源 宛 余 方式 设计 最 优 的 任务 调度 算法 。 尤 其 是 为 了 实现 服务 
的 可 恢复 ,更 需要 关注 因 服 务 窗 口 失效 而 产生 的 任务 再 调度 问题 ,显然 ,这 些 任 务 一 般 要 求 
比 正常 进入 系统 的 任务 具有 较 高 的 处 理 级 别 。 
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图 1.4.4 一 种 可 生存 系统 的 体系 结构 设计 
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互联 网 络 发 展 至 今 ,已 成 为 一 个 庞大 的 非 线性 复杂 系统 ,如 系统 规模 和 用 户 数量 巨大 且 
不 断 增长 .协议 体系 庞杂 、 业 务 种 类 繁多 、 异 质 网 络 融 合 发 展 等 。 这 远 远 超出 了 当初 设计 的 
考虑 , 现 有 的 一 些 控 制 手 段 相 对 而 言 显得 很 薄弱 ,产生 了 许多 安全 隐患 。“ 边 缘 论 ”和 面向 非 
连接 的 设计 思想 保障 了 网 络 的 高 效 互通 , 逐 跳 存储 转发 的 分 组 传送 方式 简单 .灵活 ,无 需 在 
中 间 节 点 维护 过 多 的 状态 信息 ,核心 网 络 的 工作 集中 于 路 由 转发 。 这 些 机 制 的 优点 是 设计 
简单 .可 扩展 性 强 等 ,然而 却 造成 了 分 组 传输 路 径 的 不 可 控 , 网 络 中 间 节 点 对 传输 数据 包 的 
来 源 不 验证 \ 不 审计 ,导致 地 址 假冒 、 垃 圾 信息 泛滥 ,大 量 的 入 侵 和 攻击 行为 无 法 跟踪 ""] 。 

如 何 解决 网 络 的 低 可 控 性 与 安全 可 信和 需求 之 间 的 矛盾 ,建立 内 在 的 .关联 的 网 络 可 控 模 
型 ,在 理论 和 技术 上 仍 是 当前 学 术 界 的 一 个 难题 。 网 络 的 可 控 性 是 可 信和 网 络 在 设计 上 的 一 
个 重要 属性 ,主要 目标 是 : 在 网 络 的 关键 部 分 增加 认证 、 授 权 等 控制 机 制 使 网 络 更 可 信 ; 在 
网 络 中 维护 一 定 的 状态 信息 ,施加 必要 的 控制 ,使 网 络 具有 某 种 程度 面向 连接 的 特性 ;在 不 
同 的 层次 上 实施 对 网 络 的 监管 ,提供 采集 和 传输 网 络 组 件 信任 信息 以 及 检测 网 络 运行 状态 
的 机 制 ,并 提供 异常 行为 控制 和 攻击 预警 的 快速 算法 。 

此 外 ,网 络 攻 击 和 破坏 行为 的 综合 化 ,客观 上 要 求 对 抗 机 制 也 要 综合 化 ,然而 当前 的 网 
络 安全 系统 是 分 散 而 孤立 的 ,如 入 侵 检 测 不 能 对 抗 蠕虫 病毒 , 防 病 毒 软件 不 能 对 抗拒 绝 服 务 
攻击 ,防火 墙 对 病毒 攻击 和 木马 攻击 也 无 能 为 力 。 因 此 可 信和 网 络 的 可 控 性 设计 必须 能 够 建 
立 内 在 关联 的 监控 体系 ,完成 对 网 络 节点 的 监测 以 及 信任 信息 的 采集 ,并 根据 信任 分 析 决 策 
的 结果 实施 具体 的 访问 接纳 和 攻击 预警 等 行为 控制 手段 ,使 得 多 样 的 监控 机 制 能 够 融合 在 
一 个 可 信和 的 平台 下 发 挥 效用 。 
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鉴于 当前 网 络 安全 系统 分 散 、 孤 立 的 现状 以 及 用 户 对 系统 的 安全 服务 的 迫切 需求 ,国际 
上 都 在 积极 探索 新 的 研究 思路 。 尽 管 可 信和 系统 这 一 概念 的 提出 已 经 有 一 段 时 间 , 针 对 计算 
机 系统 的 可 靠 计算 或 容错 计算 也 有 了 较为 深入 的 工作 ,但 是 网 络 系统 的 可 信 性 问题 还 是 近 
年 来 随 着 人 们 对 网 络 安全 的 日 益 重 视 才 提 出 的 。 而 且 , 当 前 的 工作 大 多 是 就 可 信和 网 络 在 理 
论 与 技术 的 某 个 局 部 目标 展开 的 ,并 没有 形成 完整 的 体系 。 可 信和 网 络 的 许多 概念 还 处 在 摸 
索 阶段 ,尤其 是 对 其 基本 属性 和 面临 的 关键 问题 并 没有 清晰 而 一 致 的 描述 。 

在 可 信和 终端 的 研究 方面 ,为 了 解决 信息 终端 结构 上 的 不 安全 性 ,从 基础 层面 上 提高 其 可 
信人 性 ,国际 上 正在 推动 可 信 计 算 技术 C~ 裤 。1999 年 ,由 康 柏 、 惠 普 、IBM、Intel 和 微软 牵头 
组 织 了 可 信 计 算 平台 联盟 (Trusted Computing Platform Alliance, TCPA) ,致力 于 在 计算 平 
台 体 系 结构 上 增强 其 安全 性 ,为 高 可 信 计 算 (trustworthy computing) 制定 开放 的 标准 。 
2003 年 TCPA 改组 为 可 信 计 算 组 (Trusted Computing Group. TCG) ,成 员 扩 大 到 200 家 ， 
并 发 布 了 可 信 平 台 模 块 (Trusted Platform Module,TPM) 规 范 。 国 际 上 一 些 著名 公司 也 在 
积极 研发 支持 高 可 信 计 算 的 产品 。 如 微软 公司 的 Palladium 计划 (后 改名 为 NGSCB) ,准备 
设计 支持 高 可 信 计 算 的 新 版 Windows 操作 系统 ;此 外 ,还 有 Intel 公司 的 LaGrande 技术 以 
及 IBM 嵌入 式 安全 系统 等 。 

在 容错 研究 方面 ,也 在 向 提高 系统 可 信 性 的 方向 演化 。 容 错 性 是 可 靠 性 的 一 个 重要 内 
容 , 其 概念 最 初出 现在 1830 年 英国 数学 家 和 分 析 仪 发 明 者 设计 的 巴 比 奇 计算 工具 中 。1970 
年 ,IEEE-CS 容错 计算 技术 委员 会 成 立 ,着 重 讨论 计算 机 可 靠 性 问题 ;1971 年 起 ,IEEE 的 容 
错 计算 委员 会 主持 召开 了 首次 FTCS 大 会 ,研究 讨论 计算 机 系统 的 可 信赖 技术 及 其 进展 。 
之 后 ,IEEE CS 建立 了 IFIP WG 10. 4 “Dependable Computing and Fault Tolerance” 小 组 。 
1992 年 ,IFIP WG 10. 4 的 成 员 在 J.C. Lapire 的 带领 下 出 版 了 专著 “Dependability: Basic 
Concepts and Terminology", 1999 年 ,IEEE 泛 太 平 洋 容错 系统 会 议 改 名 为 “可 信 计 算 会 
议 ”。2000 年 “IEEE 国际 容错 计算 会 议 (FTCS) ”与 国际 信息 处 理 联合 会 (IFIP) 的 10. 4 T. 
作 组 主持 的 “关键 应 用 可 信 计 算 工 作 会 议 ” 合 并 ,改名 为 “IEEE 可 信 系 统 与 网 络 国际 会 议 
(ICDSN)”。 

网 络 安全 监测 的 研究 始 于 20 世纪 90 年 代 , 比 较 著 名 的 有 美国 国家 安全 实验 室 研 究 的 
通用 入 侵 监 测 架构 ,以 及 美国 航天 署 提 出 的 提高 系统 安全 性 的 安全 监测 架构 等 ,初步 形成 了 
各 不 相同 的 安全 监测 技术 体系 。 此 外 , 现 阶段 国际 上 在 安全 政策 领域 的 研究 工作 刚刚 起 步 。 
目前 关于 安全 政策 的 主要 研究 组 织 是 IETF 的 Policy Framework 工作 组 , 正 致 力 于 建立 一 
种 通用 政策 架构 ,在 大 型 网 络 环境 中 管理 和 分 配 政策 ,达到 政策 的 一 致 实现 。 目 前 该 工作 组 
已 在 政策 架构 定义 语言 .通用 开放 政策 服务 等 方面 产生 了 一 批 协 议 草案 。 

基于 不 同 的 研究 背景 ,国际 上 也 有 些 工 作 正 试图 描述 可 信和 网 络 ,一 些 机构 也 启动 了 相应 
的 研究 计划 。 例 如 , DARPA 的 CHAT (Composable High-Assurance Trustworthy 
Systems) 项 目 , 就 探讨 了 如 何在 对 安全 性 .可 靠 性 .可 生存 性 及 其 他 必要 属性 具有 严格 要 求 
的 条 件 下 ,得 到 可 以 验证 的 可 信 系 统 和 网 络 "9 。 卡 内 基 。 梅 隆 大 学 也 在 推动 TRIAD 
(Trustworthy Refinement through Intrusion-Aware Design) 项 目 , 研 究 如 何 借 助人 侵 检测 
提高 网 络 系统 的 可 信人 性 55 。 加 州 大 学 伯克利 分 校 与 斯 坦 福 大 学 合作 研究 面向 恢复 的 计算 
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(Recovery-Oriented Computing. ROC). 强调 了 服务 失效 后 的 恢复 6c9。 杜 克 大 学 的 
Yumerefendi 和 Chase 将 可 审计 性 (Caccountability) 作 为 可 信 网 络 系统 设计 的 核心 目标 , 认 
为 可 审计 系统 的 行为 状态 和 动作 应 该 是 不 可 否认 的 (undeniable) n] tff i ff Ccertifiable) fl 
防 算 改 的 (tamper-evident)59 。 哈 佛 大 学 的 Camp 则 提出 ,下 一 代 Internet 可 信 系 统 必 须 建 
立 在 从 社会 科学 中 获得 的 人 类 信任 的 概念 之 上 ,可 信和 互联 网 络 将 具有 私密 、 安 全 和 可 靠 等 多 
个 尺度 ,必须 将 它们 集中 到 信任 这 个 统一 目标 上 来 才能 有 效 保障 网 络 的 安全 可 信 57 。 麻 省 
理工 学 院 的 David Clark 则 为 Internet 提出 了 知识 平面 的 概念 ,用 于 采集 和 汇聚 网 络 运行 的 
信息 ,提高 网 络 的 可 控 性 。 

此 外 ,由 于 媒介 的 开放 性 、 带 宽 和 计算 资源 的 有 限 性 、 数 据 传输 的 不 可 靠 性 .拓扑 位 置 的 
频繁 变化 、 在 许多 场合 下 难以 实施 集中 控制 和 管理 等 特点 ,与 固定 网 络 相 比 ,无 线 移动 环境 
下 的 网 络 可 信人 性 问题 面临 着 更 严重 的 威胁 ,现实 的 需求 更 为 迫切 3 。 相 关 的 代表 性 工作 主 
要 有 : np fefe ARUM Ad hoc 网 络 的 信任 评估 "I 和 移动 IPv6 的 信任 管理 中 等 。 

我 国 在 容错 、 可 信 计 算 、 安 全 监测 等 领域 也 进行 了 多 年 的 研究 ,部 分 工作 达到 了 国际 先 
进 水 平 ,但 在 可 信和 网 络 方面 还 缺乏 整体 认识 , 较 多 地 处 于 跟踪 国外 研究 动态 的 阶段 。 国 内 从 
20 世纪 80 年 代 中 期 开始 研究 计算 机 系统 的 容错 。 这 方面 的 工作 主要 是 由 中 国 计 算 机 学 会 
容错 专业 委员 会 推动 ,并 有 了 不 错 的 进展 。2003 年 ,TCG 经 由 联想 集团 和 微软 公司 第 一 次 
被 介绍 到 国内 ,并 于 2004 年 在 北京 召开 了 “高 可 信 计 算 标准 研讨 会 "。2004 年 在 我 国 还 相 
继 召 开 了 “中 国 首届 可 信 计 算 平台 技术 论坛 "和 “第 1 届 中 国 可 信 计 算 与 信息 安全 学 术 会 
议 ”, 很 好 地 促进 了 可 信 计 算 机 终端 的 研究 。 


1.4.2 可 信和 网 络 访问 控制 
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很 多 文献 中 都 提 到 了 可 信 (trust) 的 概念 ,图 1. 4. 5 为 文献 [82] 中 提出 的 可 信 的 分 类 。 
从 图 中 可 以 看 到 可 信行 为 产生 的 过 程 , 即 可 信行 为 在 产生 之 前 ,信任 受到 意图 的 影响 ,并 表 
现 为 可 信 决 策 。 可 信和 是 协同 环境 的 基础 ,是 一 种 连续 的 行为 而 不 是 离散 的 ,通常 不 具有 继承 
性 ,但 是 通过 学 习 过 程 可 以 对 可 信 值 进行 动态 更 新 。 一 般 从 两 个 方面 来 描述 可 信 , 即 时 间 
(time) 和 上 下 文 (context) : 时 间 表现 了 可 信和 的 动态 性 ,一 个 不 可 信和 的 用 户 可 能 通过 良好 的 
行为 得 到 一 个 较 高 的 可 信 值 ,而 一 个 可 信用 户 也 可 能 故意 表现 为 不 诚实 的 行为 ;可 信和 是 上 下 


行为 


访问 控制 决策 (Trusting Behavior) 


信任 阔 值 (Trusting Intention) 


信任 配置 (Trusting Beliefs) 


aia 风险 评估 
(条 件 信任 ) 信誉 扩展 信仰 形成 (系统 信任 ) 
(交互 信任 ) 


概念 


图 1.4.5 可 信和 类 型 和 结构 "2 
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文 相关 的 ,在 不 同方 面 得 到 的 可 信 值 是 不 同 的 ,如 用 户 A 对 用 户 B 某 一 方面 的 行为 是 可 信 
的 ,但 是 用 户 A 不 一 定 对 用 户 B 其 他 方面 的 行为 可 和信。 无 论 是 有 线 网 还 是 无 线 网 ,对 可 信 
网 络 访问 控制 的 研究 要 求 提出 一 种 基于 可 信和 的 访问 控制 机 制 ,其 可 信 模 型 都 有 一 些 基 本 的 
特点 ,如 : 可 信和 是 一 个 主观 的 概念 ;可 信 值 可 以 是 正 值 也 可 以 是 负 值 ;一 般 可 信 值 取 在 [0,1] 
区 间 , 且 是 建立 在 历史 经 验 上 的 一 个 连续 值 ; 可 信 信 息 在 节点 间 可 以 相互 交换 ,并 被 动态 
更 新 。 

可 信和 通常 与 信誉 (reputation) 相 混淆 ,这 里 有 必要 将 这 两 个 概念 加 以 区 别 "9 : 可 信和 是 主 
动 的 , 它 是 一 个 用 户 对 另 一 个 用 户 某 种 能 力 的 信任 ,建立 在 以 往 交易 的 满意 度 评 估 上 ;信誉 
是 被 动 的 ,是 其 他 用 户 通过 观察 和 交互 过 程 对 该 用 户 的 评价 ,一 个 用 户 的 信誉 值 在 不 同情 况 
和 行为 下 都 是 不 同 的 , 且 信誉 是 可 信 信 息 的 集合 , 它 是 通过 交互 或 资源 共享 的 历史 行为 来 预 
测 该 用 户 行为 是 否 可 信 。 虽 然 可 信和 信誉 是 两 个 不 同 的 概念 ,但 却 都 是 上 下 文 相关 的 ,都 具 
有 多 样 性 和 动态 性 。 

由 于 Ad hoc 网 络 主要 应 用 在 军事 系统 中 ,对 可 信和 信誉 的 要 求 程度 较 高 ,因此 对 信誉 
系统 的 研究 较 多 。 目 前 信誉 系统 有 3 类 : iE fh A (positive reputation)、 负 信誉 (negative 
reputation) 和 两 者 的 结合 。 正 信誉 系统 仅 考虑 节点 正面 的 行为 和 反馈 ,如 在 CORES? 系统 
中 节点 之 间 通 过 协作 建立 正信 誉 值 ,其 缺点 是 仅 考虑 了 节点 正面 的 行为 信息 ,而 没有 考虑 负 
面 的 反馈 。 负 信誉 系统 565 仅 考虑 节点 负面 的 行为 和 反馈 ,其 前 提 是 假设 系统 中 节点 是 可 信 
的 ,通过 其 行为 反馈 来 更 改 节点 的 信誉 值 ,其 缺点 是 缺少 惩罚 机 制 ,对 那些 信誉 值 较 低 且 表 
现 为 恶意 行为 的 节点 无 能 为 力 。CONFIDANT5s 系统 同时 考虑 了 正信 誉 和 负 信 誉 ,并 通过 
等 级 表 (rating list) 和 权重 (weighting) 来 计算 节点 的 信誉 值 , 使 具有 恶意 行为 的 节点 在 网 络 
中 孤立 ,激励 所 有 节点 参与 到 网 络 中 ,提高 了 系统 的 通信 效率 。 

近年 来 ,对 网 络 可 信 模 型 的 研究 已 经 引起 关注 ,多 数 都 是 基于 可 信和 信誉 的 模型 ,这 些 
模型 都 可 以 应 用 到 网 络 的 可 信访 问 控制 研究 中 。 文 献 L87,88] 是 为 P2P 系统 提出 的 基于 贝 
叶 斯 网 络 (Bayesian network) 的 可 信和 信誉 模型 ,其 信誉 建立 在 推荐 (recommendation ) 的 
基础 上 。 巾 于 在 P2P 系统 中 对 等 点 的 可 信 值 是 多 方面 的 , 即 在 不 同 的 情况 下 ,对 peer 的 可 
信 值 是 不 同 的 , 贝 叶 斯 网 络 为 不 同情 况 下 的 可 信 值 提供 了 一 种 灵活 的 模型 ,可 应 用 于 P2P 
文件 共享 系统 或 其 他 P2P 系统 中 。 文 献 [89] 为 动态 协同 网 提出 了 一 个 分 布 式 基 于 可 信和 的 
访问 控制 系统 ,该 系统 是 一 种 以 节点 为 中 心 的 基于 可 信 的 访问 控制 ,结合 了 信誉 和 风险 
(risk) ,具有 动态 性 ,能 够 激励 节点 之 间 的 相互 协作 和 共享 资源 ,适用 于 移动 Ad hoc 协同 
环境 。 
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对 可 信 网 络 访问 控制 的 研究 有 助 于 提高 网 络 系统 的 安全 性 ,是 可 信 网 络 安全 性 研究 中 
的 一 个 重要 问题 ,必须 将 传统 的 访问 控制 方法 与 认证 、 授 权 、 密 钥 管理 等 方法 相 结合 才能 解 
决 可 信 网 络 的 安全 问题 。 基 于 角色 的 访问 控制 本 身 具 有 很 多 优势 ,如 权限 与 角色 相关 联 , 根 
据 责任 和 资格 授予 用 户 相应 的 角色 ,从 而 实现 用 户 和 访问 权限 的 逻辑 分 离 ,并 且 管 理 员 可 以 
根据 系统 和 应 用 程序 的 需要 添加 和 撤销 用 户 的 角色 或 角色 的 权限 , 极 大 地 简化 了 权限 管理 。 
但 在 可 信和 网 络 中 , 仅 通 过 基于 角色 的 访问 控制 并 不 能 实现 网 络 的 可 信 ,必须 通 过 适当 的 基于 
可 信和 的 访问 控制 策略 ,经 过 安全 认证 与 授权 后 的 用 户 才 具 有 某 种 角色 ,可 行使 某 种 权限 或 执 
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行 某 些 安全 操作 ,这样 才 能 保证 网 络 中 用 户 的 行为 是 可 信 的 。 

在 可 信 网 络 中 ,一 个 节点 对 另 一 个 节点 能 力 的 信任 ,是 建立 在 直接 经 验 的 基础 上 的 ; 信 
誉 是 一 个 节点 对 另 一 个 节点 能 力 ,诚实 度 和 可 靠 性 的 信任 ,建立 在 其 他 点 的 推荐 上 ,推荐 值 
也 称 为 参考 值 (reference)。 可 信和 网 络 中 的 节点 通过 询问 或 节点 之 间 的 交互 得 到 一 些 参考 
值 ,根据 这 些 参 考 值 动态 更 新 对 其 他 节点 的 可 信 值 。 可 信和 分 为 两 类 : 一 类 是 对 文件 提供 者 
在 提供 文件 共享 能 力 上 的 可 信 ; 另 一 类 是 对 那些 提供 推荐 的 节点 可 靠 性 上 的 可 信 。 信 誉 值 
可 以 集中 计算 ,如 由 可 信 第 三 方 计算 ,也 可 以 分 散 计算 , 即 每 个 点 通过 询问 推荐 并 各 自 计算 
出 其 他 点 的 信誉 值 。 

图 1.4.6 为 可 信和 网 络 的 可 信和 信誉 机 制 ,从 图 中 可 以 看 到 可 信和 信誉 机 制 的 实现 过 程 : 
当 一 个 节点 需要 选择 一 个 可 信和 点 进行 交易 时 ,如 果 历 史上 曾 有 过 与 该 点 交互 的 经 验 , 则 在 自 
己 的 可 信和 点 数据 库 中 找到 一 个 可 信 值 最 高 的 文件 提供 者 与 之 交互 ;如 果 以 前 没有 过 与 该 点 
交互 的 经 验 或 对 该 点 了 解 较 少 , 则 从 其 他 节点 的 推荐 中 ,通过 综合 计算 选择 一 个 信誉 值 高 的 
节点 进行 交互 。 通 过 这 次 交互 的 满意 度 对 该 点 进行 评估 ,并 更 新 该 节点 的 可 信 值 ,同时 更 新 
那些 提供 推荐 的 节点 的 可 信 值 。 可 信和 信誉 机 制 可 以 帮助 区 分 好 坏 节点 ,并 找到 适合 自己 
需求 的 交易 节点 ,提高 了 节点 之 间 通 信 的 效率 。 这 种 机 制 可 以 根据 不 同 的 需求 应 用 于 不 同 
网 络 环境 的 基于 可 信和 的 访问 控制 模型 中 ,以 提高 网 络 节点 间 通 信 的 效率 和 安全 性 。 
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图 1.4.6 可 信和 网 络 中 可 信和 信誉 机 制 


可 信和 网 络 的 访问 控制 要 求 建立 基于 可 信 的 访问 控制 模型 。 由 上 面 的 介绍 可 以 看 到 ,可 
信访 问 控 制 主要 是 建立 基于 可 信和 信誉 的 模型 。 目 前 研究 较 多 的 是 针对 PP 文件 共享 系 
统 和 Ad hoc 网 络 的 可 信和 模型 ,由 于 这 两 种 网 络 都 要 求 节点 间 共 享 资 源 ,对 可 信 的 要 求 程 度 
较 高 。 可 信 值 的 评估 方法 在 文献 [90,91] 中 都 有 介绍 ,而 针对 P2P 系统 中 可 信 评 估 的 研究 
也 越 来 越 多 3~ 踢 。 这 些 可 信和 模型 和 可 信 评 估 的 方法 都 将 为 可 信访 问 控制 提供 参考 ,并 成 为 
可 信 网 络 研究 的 一 个 重要 内 容 。 

可 信和 网 络 作为 可 信 计 算 发 展 的 必然 趋势 ,对 可 信访 问 控制 的 研究 也 必然 成 为 热点 。 除 
了 建立 可 信和 模型 和 评估 可 信 值 这 两 个 重要 的 问题 以 外 ,还 有 一 些 关键 问题 需要 解决 ,如 节点 
的 搜索 问题 , 即 如 何 找 到 可 信 的 节点 并 向 它们 询问 推荐 ;如 何 保证 系统 免 受 各 种 攻击 等 3。 
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1.4.3 可 信 计 算 


可 信 计 算 (trusted computing,TC) 概 念 的 提出 是 为 了 保护 重要 信息 系统 的 敏感 数据 ， 
解决 日 益 严 重 的 计算 机 安全 问题 。 由 Compaq 牵头 , HP,IBM ,Intel, Microsoft 在 1999 年 
10 月 共同 发 起 成 立 了 可 信 计 算 平台 联盟 (Trusted Computing Platform Alliance, 
TCPA)*), TCPA 的 目的 是 为 可 信 计 算 制定 开放 的 标准 。TCPA 通过 硬件 和 软件 的 标准 
化 来 防止 软件 攻击 以 及 身份 盗用 ,保证 数据 的 安全 性 。TCPA 要 求 当 前 的 计算 平台 加 入 硬 
件 和 软件 的 扩展 来 支持 可 信 计 算 , 如 反复 改 可 信 平 台 模 块 (TPM) 和 安全 操作 系统 核心 。 
TCPA 的 主要 特色 是 安全 启动 .平台 验证 、 受 保护 的 存储 。 

2003 年 4 月 8 日 ,TCPA 中 的 AMD,HP,IBM,Intel 和 Microsoft 对 外 宣布 ,将 TCPA 
重新 改组 ,更 名 为 可 信 计 算 工 作 组 (Trusted Computing Group, TCG) ,并 继续 使 用 TCPA 
制定 的 “Trusted Computing Platform Specifications”, 同时 也 在 制定 符合 Palladium 的 
TPM 1. 2 技术 规范 。 目 前 TCG 的 成 员 数 目 超过 200。TCG 的 任务 是 制定 产品 的 技术 规 
范 ,以 使 用 户 可 以 保护 关键 数据 和 信息 。TCG 的 文档 是 为 了 在 计算 平台 中 赋予 可 信 性 的 工 
业 技 术 规 范 。 该 技术 规范 定义 了 可 信和 的 子 系统 , 它 是 构成 可 信 计 算 平台 的 必需 部 分 ,为 操作 
系统 和 应 用 提供 功能 调用 。 

计算 平台 (platform) 指 的 是 用 户 可 以 用 来 运行 应 用 程序 的 通用 产品 。 计 算 平 台 包括 服 
务 器 、PC, 笔 记 本 和 手机 等 。 应 用 程序 包括 操作 系统 等 。 

可 信 计 算 平台 (trusted platform) 是 一 个 产生 软件 进程 信任 基础 的 平台 , 即 为 本 地 用 户 
和 远程 实体 信任 的 ,其 行为 运作 在 针对 某 一 特定 目的 的 可 期 望 的 模式 下 。 

可 信 计 算 平 台 应 用 研究 的 基本 目标 就 是 要 建立 一 个 网 络 中 的 可 信任 域 ,并 基于 该 网 络 
信任 域 的 管理 系统 将 个 体 的 可 信 计 算 平台 扩展 到 网 络 中 ,形成 网 络 里 的 可 信任 域 , 并 结合 信 
息 保 密 网 的 应 用 给 出 可 信 计 算 平台 的 应 用 方案 。 网 络 信任 包括 终端 可 信 、 局 域 网 可 信和 网 
络 互联 可 信 。 网 络 信任 管理 的 内 容 包 括 : 统一 用 户 管理 .统一 资源 管理 .统一 授权 管理 .证 
书 管理 .策略 管理 和 审计 管理 。 网 络 信任 管理 系统 及 其 应 用 可 达到 如 下 目标 : 

(1) 避免 非法 用 户 使 用 本 地 终端 及 网 络 资源 ; 

(2) 防止 网 络 环境 下 机 密 信息 泄露 ; 

(3) 防止 被 非法 用 户 窃取 个 人 私密 信息 ; 

(4) 防止 网 络 非法 接 入 ; 

(5) 避免 信息 系统 被 恶意 代码 或 木马 感染 ,造成 系统 瘫痪 等 。 

可 信 计 算 平台 基本 特征 主要 包括 以 下 3 点 : 

(1) 受 保护 的 能 力 

受 保护 的 能 力 指 的 是 一 组 排他 性 访问 受 保护 的 区 域 的 命令 。 受 保护 的 区 域 是 可 安全 操 
作 敏感 数据 的 区 域 (如 存储 器 和 寄存 器 等 ) ,这些 区 域 的 数据 只 能 被 这 种 受 保护 的 能 力 所 访 
问 。TPM 实现 了 用 来 保护 和 报告 完整 性 测量 的 受 保护 能 力 和 受 保护 区 域 , 称 为 平台 配置 寄 
存 器 PCR. TPM 保存 加 密 密 钥 用 来 认证 报告 的 测量 。TPM 的 受 保护 能 力 包括 额 外 的 安 
全 功能 ,如 加 密 密 钥 管理 、 随 机 数 发 生 器 等 。 
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(2) 验证 

验证 (attestation) 是 证 明 信 息 正确 性 的 过 程 。 外 部 实体 可 确认 受 保护 区 域 . 受 保护 能 
力 和 信任 根 (root of trust)。 一 个 平台 可 以 验证 该 平台 的 描述 特征 ,这 些 特 征 影响 平台 的 完 
整 性 。 验 证 可 被 理解 成 几 个 方面 : TPM 的 验证 ,平台 的 验证 和 对 平台 的 认证 。 

TPM 执行 的 验证 是 一 种 为 TPM 可 知 的 数据 提供 证 明 的 操作 。 该 操作 通过 使 用 AIK 
来 对 内 部 特殊 的 TPM 数据 进行 数字 签名 。 完 整 性 和 AIK 本 身 的 有 效 性 和 可 接纳 性 由 检 
验 者 来 确定 。AIK 可 从 保密 的 认证 中 心 或 者 通过 可 信 证 实 协议 来 获得 。 

平台 的 验证 是 一 种 操作 ,为 该 平台 的 一 组 完整 性 测量 提供 证 明 ,通过 对 TPM 中 的 PCR 
集合 使 用 AIK 数字 签名 来 实现 。 平 台 的 认证 是 为 声明 的 平台 身份 提供 依据 ,通过 使 用 非 移 
植 的 签名 密 钥 实现 。 

(3) 完整 性 的 测量 ,存储 和 报告 

完整 性 的 测量 是 一 个 获得 平台 特性 的 度量 过 程 ,这 些 特性 影响 了 一 个 平台 的 完整 性 。 
完整 性 存储 保存 这 些 度量 ,并 把 这 些 度量 的 数字 签名 放 到 PCR 中 。 

测量 的 起 点 是 测量 信任 根 (root of trust for measurement) 。 一 个 静态 的 测量 信任 根 从 
启动 状态 (如 加 电 自 检 ) 开 始 测量 。 一 个 动态 的 测量 信任 根 从 不 可 信 的 状态 转移 到 可 信 的 
状态 。 

在 完整 性 测量 和 完整 性 报告 之 间 的 中 间 步 又 是 完整 性 存储 。 完 整 性 存储 保存 完整 性 测 
量 到 日 志 中 ,存储 这 些 测 量 的 数字 签名 到 PCR 中 。 完 整 性 报告 是 验证 完整 性 存储 的 过 程 。 

完整 性 测量 ,存储 和 报告 的 一 个 原则 是 平台 可 以 允许 进入 任何 可 能 的 状态 ,包括 不 符合 
要 求 的 状态 或 者 是 不 安全 的 状态 ,但 是 平台 不 能 允许 谎报 其 过 去 所 处 的 状态 。 一 个 独立 的 
过 程 用 来 验证 完整 性 的 状态 和 确定 相应 的 响应 。 


1.4.4 可 信 网 络 连接 


当 可 信 计 算 模 块 在 单个 主机 逐渐 广泛 使 用 之 后 , 解决 了 单机 的 可 信和 问题 ,而 网 络 连接 
的 可 信和 成 为 急需 解决 的 问题 。 在 2004 年 5 H. TCG 成 立 了 可 信和 网 络 连 接 (Trusted 
Network Connect. TNC) 分 组 (TNC SubGroup. TNC-SG) ;作为 TCG 中 基础 设施 工作 组 
(Infrastructure Work Group) 的 一 部 分 , 它 将 TCG 的 视野 延展 到 了 网 络 的 安全 性 和 完整 
TE. 设计 防止 不 安全 设备 接 人 和 破坏 网 络 的 机 制 。TNC-SG 的 主要 工作 是 开发 定义 TNC 
架构 的 一 系列 标准 ,TCG 在 2005 年 发 布 了 可 信 网 络 连接 规范 cm 。 
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TNC 是 建立 在 基于 主机 的 可 信 计 算 技 术 之 上 的 ,其 主要 目的 在 于 通过 使 用 可 信和 主机 提 
供 的 终端 技术 ,实现 网 络 访问 控制 的 协同 工作 ,又 因为 完整 性 校 验 被 终端 作为 安全 状态 的 证 
明 技术 ,所 以 用 TNC 的 权限 控制 策略 可 以 估算 目标 网 络 的 终端 适应 度 。TNC 网 络 构架 会 
结合 已 存在 的 网 络 访问 控制 策略 (例如 802. 1x,IKE,Radius 协议 ) 来 实现 访问 控制 功能 。 

TCG 设计 TNC 架构 的 原则 是 把 TNC 设计 为 一 个 开放 的 通用 架构 , 这 样 TNC 才能 与 
现 有 大 量 不 同 网 络 技术 和 网 络 设备 协同 工作 。TNC 的 一 个 重要 目标 是 , 使 用 TPM 的 授权 
机 制作 为 实现 可 信 网 络 连接 的 重要 组 成 部 分 ,并 通过 提供 一 个 由 多 种 协议 规范 组 成 的 框架 
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来 实现 一 套 多 元 的 网 络 标准 。 在 TNC 架构 的 基础 上 , TCG 可 以 开发 不 同 的 协议 , 在 不 同 
的 网 络 标准 下 达到 这 样 的 目标 : 

CD 平台 认证 : 确认 请 求 访问 网 络 的 端点 (或 主机 ) 的 身份 以 及 平台 的 完整 性 证 明 。 

(2) 端点 完整 性 认证 : 建立 端点 状态 的 “信赖 ”级 别 , 以 确保 被 代 管 应 用 程序 的 安全 状 
态 和 升级 情况 ;修改 数字 签名 库 来 实现 反 病 毒 和 入 侵 检测 ,防止 系统 被 有 害 软件 攻击 。 

CD 访问 策略 : 保证 端点 及 其 用 户 的 身份 辨别 ,在 连接 到 网 络 之 前 生成 端点 的 可 信 级 
别 , 这 包含 了 许多 现 有 或 即将 出 现 的 标准 。 

(4) 评估 (assessment)、 孤 立 (isolation) 和 矫正 (remediation) : 确保 不 能 达到 安全 策略 
标准 的 端点 被 孤立 在 网 络 之 外 。 另 外 ,如 果 存 在 合适 的 矫正 方案 (如 更 新 软件 或 病毒 的 特征 
E), 则 应 用 校正 方案 , 以 使 端点 能 够 访问 网 络 。 

TNC 架构 由 实体 、 层 、 组 件 和 组 件 间 的 接口 组 成 ,如 图 1. 4.7 所 示 。TNC 架构 框图 中 
有 3 列 , 对 应 3 个 实体 AR,PEP 和 PDP。 图 中 矩形 框 表示 实体 中 的 组 件 ,3 行 分 别 对 应 
TNC 架构 中 3 个 抽象 层 。 


完整 性 
测量 层 


完整 性 


评价 层 =| TNC 服务 器 


网 络 


网 络 访问 
访问 层 j 


授权 


IF-PEP 
图 1.4.7 TNC 架构 


1. 实体 

实体 (entity) 是 网 络 中 具有 对 应 角色 的 逻辑 实体 (不 一 定 是 物理 实体 );，TNC 架构 中 有 
3 个 实体 : 

访问 请 求 者 (access requestor, AR); 请 求 访问 受 保护 网 络 的 逻辑 实体 (可 能 是 一 台 台 

台 物 理 计算 机 ,或 一 个 独立 的 程序 )。 

策略 决定 点 (policy decision point, PDP) ; 根据 特定 的 网 络 访问 策略 检查 AR 的 访问 认 
证 , 决定 是 否 授 权 访 问 的 网 络 实体 。 

策略 实施 点 (policy enforcement point, PEP): 执行 PDP 的 访问 授权 决策 的 网 络 实体 。 

当 访 问 请 求 者 向 策略 实施 点 发 出 网 络 连 接 请 求 时 ,该 连接 请 求 将 首先 由 策略 决定 点 进 
行 判 断 , 依 据 系 统 的 访问 策略 ,并 根据 访问 请 求 者 当前 的 完整 性 及 其 他 安全 属性 ,对 连接 请 
求 做 出 判断 。 然 后 将 该 判断 发 送 给 策略 实施 点 ,由 策略 实施 点 来 具体 实施 。 

2. R 

根据 组 件 的 功能 把 不 同 实体 中 的 组 件 分 为 3 个 抽象 层 (layer) : 
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网 络 访问 层 (network access layer): 包含 组 件 的 功能 属于 传统 网 络 连接 和 安全 ,如 
VPN, 802. 1x 等 。 

完整 性 评价 层 (integrity evaluation layer) : 从 不 同 访问 策略 的 角度 来 评价 AR 实体 的 
整体 完整 性 。 

完整 性 度量 层 (integrity measurement layer) : 包含 插件 (plug-in) 组 件 ,这 些 组 件 的 功 
能 是 为 安全 程序 收集 和 校 验 AR 实体 中 与 完整 性 有 关 的 信息 。 


3. 组 件 

组 件 (component) 是 实体 中 完成 具体 功能 的 逻辑 功能 模块 。AR 实体 中 的 组 件 有 : 

网 络 访问 请 求 者 (network access requestor, NAR): NAR 组 件 的 功能 是 发 起 网 络 请 
求 , 一 个 AR 实体 中 可 能 有 多 个 NAR。 

TNC 客户 (TNC client, TNCC): 聚集 了 IMC 的 完整 性 度量 信息 ,同时 协助 完成 完整 
性 检查 握手 (integrity check handshake), 度量 并 报告 平台 以 及 IMC 的 完整 性 。 

完整 性 测量 收集 器 (integrity measurement collector. IMC): 从 不 同安 全 角度 度量 AR 
实体 的 完整 性 。 收 集 的 信息 包括 操作 系统 安全 性 、 反 病毒 软件 .防火 墙 .软件 版 本 等 。 

PEP 实体 中 只 有 策略 实施 点 (PEP) 组 件 , 其 功能 是 控制 对 受 保护 网 络 的 访问 ,PEP 向 
PDP 咨询 是 否 授权 访问 。 

PDP 实体 中 的 组 件 有 : 

网 络 访问 授权 (network access authority, NAA): 决定 一 个 AR 是 否 应 该 得 到 访问 授 
权 。 向 TNC server 询问 AR 的 完整 性 是 否 满足 NAA 的 安全 策略 。 

TNC 服务 器 (TNC server, TNCS): 管理 IMV 和 IMC 之 间 的 消息 流向 , 收集 IMYV 的 
行为 推荐 (action recommendation) 并 组 合 为 TNCS 的 整体 行为 推荐 , 发 送 给 NAA, 

完整 性 测量 鉴别 器 (integrity measurement verifier, IMV): 根据 从 IMC 和 其 他 数据 得 
到 的 度量 校 验 AR 的 完整 性 。 


4. 接口 

接口 (interface) 定 义 了 组 件 之 间 的 协议 和 消息 。 

完整 性 度量 收集 接口 IF-IMC (integrity measurement collector interface? : IF-IMV 是 
IMC [i] TNCC 之 间 的 接口 。 该 接口 的 主要 功能 是 从 IMC 收集 完整 性 测量 值 ,并 支持 IMC 
5 IMV 之 间 的 信息 流动 。 

完整 性 度量 校 验 接 口 IF-IMV (integrity measurement verifier interface); IF-IMV 是 
IMV 5 TNCS 之 间 的 接口 。 该 接口 的 主要 功能 是 将 从 IMC 得 到 的 完整 性 测量 值 传递 给 
IMV ,支持 IMC 5 IMV 之 间 的 信息 流动 ,将 IMV 所 做 出 的 访问 决定 传递 给 TNCS. 

TNC 客户 -服务 接口 IF-TNCCS (TNC client-server interface); IF-TNCCS 是 TNCC 
AI TNCS 之 间 的 接口 。 该 接口 定义 了 一 个 协议 ,该 协议 传递 如 下 的 信息 : 从 IMC 到 
IMV 的 信息 (如 完整 性 测量 值 ); OMA IMV 到 IMC 的 信息 (如 要 求 额外 的 完整 性 测量 值 ); 
@ 会 话 管理 信息 和 一 些 同步 信息 。 

厂商 定制 的 IMC-IMV 消息 接口 IF-M (vendor-specific IMC-IMV messages): 
IF-M Æ IMC 和 IMYV 之 间 的 接口 。 在 该 接口 上 传输 的 信息 主要 是 一 些 与 提供 商 相关 的 
信息 。 
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网 络 授权 传输 协议 (network authorization transport protocol) IF-T: IF-T 维护 在 AR 
实体 和 PDP 实体 之 间 的 信息 传输 。 在 这 两 个 实体 中 维护 该 接口 的 组 件 为 NAR 和 NAA。 

平台 可 信服 务 接口 IF-PTS (platform trust services interface): 提供 平台 可 信和 服务 , 确 
保 TNC 组 件 是 可 信和 的 。 

策略 执行 点 接口 IF-PEP (policy enforcement point interface) ; IF-PEP 为 PDP 和 PEP 
之 间 的 接口 。 该 接口 维护 PDP 和 PEP 之 间 的 信息 传输 。 通 过 它 ,PDP 可 以 指示 PEP 对 
AR 进行 某 种 程度 的 隔离 ,以 对 AR 进行 修复 。 当 修复 完成 之 后 , 方 可 授予 AR 访问 网 络 的 
权利 。 
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通过 接口 ,各 种 信息 在 各 个 组 件 之 间 流 动 .图 1. 4. 8 为 TNC 结构 中 各 个 组 件 之 间 的 信 
息 流 动 示 意图 。 这 里 假定 认证 和 授权 的 顺序 是 按照 用 户 认 证 ,平台 认证 和 完整 性 检查 来 进 
行 的 。 
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图 1.4.8 TNC 信息 流动 


(1) 信息 0: 在 开始 网 络 连接 和 完整 性 检查 握手 协议 之 前 ,TNCC 必须 装载 每 一 个 相关 
的 IMC, 然 后 启动 这 些 IMC。 还 要 保证 与 这 些 IMC 连接 的 状态 是 不 可 破坏 的 。 类 似 地 ， 
TNCS 也 要 装载 并 启动 IMV. 

(2) 信息 1: 当 有 网 络 连 接 请 求 发 生 时 ,NAR 在 网 络 层 启动 一 个 连接 请 求 。 

(3) 信息 2: 收 到 网 络 连接 请 求 之 后 ,PEP 发 送 一 个 网 络 访问 决定 请 求 给 NAA。 这 里 
假定 NAA 已 经 设置 成 按照 用 户 认证 ,平台 认证 和 完整 性 检查 的 顺序 进行 操作 。 如 果 有 一 
个 认证 失败 , 则 其 后 的 认证 将 不 会 发 生 。 用 户 认证 可 以 发 生 在 NAA 和 AR 之 间 。 平台 认 
证 和 完整 性 检查 发 生 在 AR M TNCS 之 间 。 

OD 信息 3: 假定 AR 和 NAA 之 间 的 用 户 认证 成 功 完成 , 则 NAA 通知 TNCS 有 一 个 
网 络 连接 请 求 到 来 。 

(5) 信息 4: TNCS 和 TNCC 进行 双向 的 平台 认证 。 

(6) 信息 5: TNCS 和 TNCC 之 间 的 双向 平台 认证 完成 之 后 ,TNCS 通知 IMV 有 一 个 
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网 络 连接 请 求 到 来 ,需要 执行 一 个 完整 性 检查 握手 。 相 似 地 ,TNCC 也 通知 IMC 有 一 个 网 
络 连 接 请 求 到 来 ,需要 执行 一 个 完整 性 检查 握手 。 

CD 信息 OA: 为 了 执行 一 个 完整 性 检查 握手 ,TNCS 和 TNCC 开始 交换 与 完整 性 检查 
相关 的 各 种 信息 。 这 些 信息 将 会 被 NAR,PEP 和 NAA 转发 ,直到 AR 的 完整 性 状态 满足 
TNCS 的 要 求 为 止 。 

(8) 信息 6B: TNCS 将 每 个 IMC 信息 发 送 给 相应 的 IMV , IMV 对 IMC 信息 进行 分 
析 。 如 果 IMV 需要 更 多 的 完整 性 信息 , 它 将 通过 IF-IMV 接口 向 TNCS 发 送信 息 。 如 果 
IMV 已 经 对 IMC 的 完整 性 信息 做 出 判断 , 它 将 结果 通过 IF-IMV 接口 发 送 给 TNCS, 

(9) 信息 6C: 相似 地 ,TNCC 也 要 转发 来 自 TNCS 的 信息 给 相应 的 IMC, 并 将 来 自 
IMC 的 信息 发 送 给 TNCS. 

(10) 信息 7: 当 TNCS 完成 与 TNCC 的 完整 性 检查 握手 之 后 , 它 发 送 TNCS 动作 建议 
给 NAA。 这 里 需要 注意 的 是 ,即使 AR 通过 了 TNCS 的 完整 性 检查 ,如 果 它 的 某 些 安全 属 
性 不 满足 NAA 的 要 求 ,NAA 仍然 可 以 拒绝 AR 的 网 络 访问 请 求 。 

QD 信息 8: NAA 发 送 网 络 访问 决定 给 PEP 来 具体 实施 。NAA 也 必须 向 TNCS 说 
明 它 最 后 的 网 络 访问 决定 ,这 个 决定 也 将 会 发 送 给 TNCC。 通 常 ,PEP 会 向 NAR 指示 它 对 
网 络 访问 决定 的 执行 情况 。 

可 信和 网 络 连接 技术 规范 的 实现 不 需要 TPM 模块 。 尽 管 采用 基于 可 信和 网 络 连接 技术 规 
范 的 解决 方案 能 够 保护 网 络 的 安全 ,使 用 TPM 的 网 络 系统 可 能 由 于 具有 更 高 的 安全 和 信 
任 级 别 而 受益 。 在 构建 安全 的 网 络 环境 的 过 程 中 , 安全 产品 作为 第 一 道 安全 防线 , 正 受到 
越 来 越 多 用 户 的 关注 。TNC 架构 是 一 个 可 信 网 络 安全 技术 体系 ,试图 通过 现 有 网 络 安全 产 
品 和 网 络 安全 子 系统 的 有 效 管 理 和 整合 , 并 结合 可 信 网 络 的 接 和 人 控制 机 制 、 网 络 内 部 信息 
的 保护 和 信息 加 密 传输 机 制 , 全 面 提高 网 络 整体 安全 防护 能 力 。 
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认证 


认证 (authentication) 是 指 用 户 在 使 用 网 络 系统 中 的 资源 时 对 用 户 身份 的 确认 。 这 一 
过 程 通过 与 用 户 的 交互 获得 身份 信息 (如 用 户 名 /口令 组 合 . 生 物 特征 等 ) ,然后 提交 给 认证 
服务 器 ,后 者 对 身份 信息 与 存储 在 数据 库 里 的 用 户 信息 进行 核对 处 理 , 根 据 处 理 结果 确 认 用 
户 身份 是 否 正 确 。 

本 章 的 AAA 服务 器 是 为 流 媒 体系 统 设计 的 ,完成 接 入 认证、 授权 以 及 计 费 功能 。 目 
前 ,由 于 RADIUS 协议 仍然 是 唯一 的 AAA 协议 标准 ,因此 本 章 中 设计 的 AAA 服务 器 仍 采 
用 RADIUS 协议 ,实现 RADIUS 协议 中 提供 的 AAA 服务 功能 ,同时 提供 用 户 和 计 费 信息 
的 存储 与 管理 等 功能 。 此 外 ,本 章 还 讨论 了 多 级 安全 域 的 认证 模型 和 DoS 攻击 容忍 的 认证 
模型 ,并 给 出 了 模型 的 安全 分 析 。 


21 RADIUS 协议 


RADIUS(remote authentication dial-in user service ,远程 认 证 拨号 用 户 服务 ) 的 最 初 设 
计 是 为 了 管理 通过 串口 和 调制 解 调 器 上 网 的 大 量 分 散 用 户 ,后 来 人 们 对 它 进 行 扩 充 和 完善 ， 
使 得 该 协议 广泛 应 用 于 用 户 的 接 人 管理 ,成 为 当今 最 流行 的 用 户 接 人 管理 协议 ,为 网 络 提供 
目前 最 成 熟 的 用 户 身份 认证 Cauthentication)、 授 权 (Cauthorization) 和 计 费 (accounting ) 功 
能 , 即 AAA 管理 。 

1997 年 1 月 ,RADIUS 协议 问世 , 因 其 结构 良好 、 实 现 简 单 、 扩 展 灵活 等 特点 引起 人 们 
的 浓厚 兴趣 与 关注 。 三 个 月 后 ,RFC 2138 RFC 21392 36 8 j"/E , 1998 年 12 月 ,IETF 
在 第 A3 次 会 议 上 成 立 了 AAA 工作 组 ,着 手 AAA 相关 标准 的 研究 ,讨论 关于 认证 ,授权 和 
计 费 的 问题 。2000 年 6 H . RFC 2865") ffl RFC 2866" f RADIUS 协议 进行 了 进一步 的 改 
进 和 完善 ,使 RADIUS 协议 成 为 一 项 通用 的 AAA 协议 ,在 ADSL HA, ARRIA ER 
网 络 接 人 等 领域 中 得 到 广泛 应 用 ,成 为 目前 最 常用 的 AAA 协议 之 一 。 但 是 RADIUS 协议 
仍然 有 不 少 可 以 改进 之 处 ,比如 简单 的 丢 包 机 制 , 没 有 关于 重 传 的 规定 和 集中 式 计 费 服务 。 
这 些 问题 使 得 它 不 太 适 应 当前 网 络 的 发 展 ,需要 进一步 改进 。2000 年 开始 对 RADIUS iff 
行 深入 讨论 ,提出 RFC 286714 RFC 2868, 2003 4E. IETF 的 AAA 工作 组 再 次 从 根本 
上 对 AAA 体系 结构 进行 了 讨论 ,提出 RFC 3575/7, 


2.1.1 RADIUS 协议 简介 


2111 RADIUS 协议 的 主要 特点 


RADIUS 是 应 用 层 协 议 , 基 于 UDP 协议 。RADIUS 认证 使 用 1812 端口 四 , 计 费 使 用 
1813 端口 中。 

概括 来 说 ,RADIUS 的 主要 特点 如 下 : 

(1) 客户 端 /服务 端 模式 (client/server) 

RADIUS 是 一 种 C/S 结构 的 协议 , 它 的 客户 端 最 初 就 是 网 络 接 入 服务 器 (network 
access server, NAS) ,现在 运行 在 任何 硬件 上 的 RADIUS 客户 端 软件 都 可 以 成 为 RADIUS 
的 客户 端 。 客 户 端的 任务 是 把 用 户 信息 (用 户 名 /密码 ) 传 递 给 指定 的 RADIUS 服务 器 ,并 
负责 处 理 返回 的 响应 。 

RADIUS 服务 器 负责 接收 用 户 的 连接 请 求 ,对 用 户 身份 进行 认证 ,并 为 客户 端 返 回 所 
有 为 用 户 提 供 服务 所 必需 的 配置 信息 。 一 个 RADIUS 服务 器 可 以 为 其 他 RADIUS 服务 器 
或 其 他 认证 服务 器 担当 代理 。 

(2) 网 络 安全 

客户 端 和 RADIUS 服务 器 之 间 的 交互 经 过 了 共享 保密 字 的 认证 。 另 外 ,为 了 避免 某 些 
人 在 不 安全 的 网 络 上 监听 获取 用 户 密码 的 可 能 性 ,在 客户 端 和 RADIUS 服务 器 之 间 的 任何 
用 户 密码 都 是 加 密 后 传输 的 。 

(3) 灵活 的 认证 机 制 

RADIUS 服务 器 可 以 采用 多 种 方式 来 认证 用 户 的 合法 性 。 当 用 户 提供 了 用 户 名 和 密 
码 后 ,RADIUS 服务 器 可 以 支持 点 对 点 的 PAP 认证 (PPP PAP), 点 对 点 的 CHAP 认证 
(PPP CHAP) „UNIX 的 登录 操作 (UNIX Login) 或 其 他 认证 机 制 。 

(4) 扩展 协议 

所 有 的 交互 都 包括 可 变 长 度 的 属性 字段 。 为 满足 实际 需要 ,用 户 可 以 加 入 新 的 属性 值 。 
新 的 属性 值 可 以 在 不 中 断 已 存在 协议 执行 的 前 提 下 自行 定义 新 的 属性 。 


2112 RADIUS 协议 分 组 格式 


RADIUS 数据 分 组 必须 遵循 如 图 2. 1. 1 所 示 的 格式 。 在 RADIUS 数据 分 组 中 ,有 
Code( 代 码 ) ,Identifier( 标 识 符 ),Length( 长 度 ),Authenticator( 认 证 码 ),Attribute( 属 性 )5 
个 字段 域 , 每 个 域 都 按照 从 左 到 右 的 顺序 在 网 络 中 传送 。 


1. Code 字段 

Code 字段 占 一 个 字 节 长 度 , 标 识 RADIUS 消息 分 组 类 型 。 如 果 收 到 的 分 组 中 代码 字 
段 无 效 , 则 简单 地 丢弃 该 消息 。RADIUS 代码 值 ( 十 进 制 ) 具 体 分 配 如 下 : 

1 接 入 请 求 (access-request) 

2 接 入 允许 (access-accept) 

3 ” 接 入 拒绝 (access-reject) 

4 ” 计 费 请 求 (accounting-request) 


52 ; 网络 安全 控制 机 制 


01234567012345670123456701234567 


| Code | Identifier | Length | 
+ t - 
| | 
| Authenticator | 
| | 
一 +- 十 -十 
| Attributes ... 
Í———— - 一 ——— 


图 2.1.1 RADIUS 数据 包 格式 


5 计 费 响应 (accounting-response) 

11 接 入 询问 (access-challenge) 

12 服务 器 状态 (status-server (experimental)) 
13 客户 机 状态 (status-client (experimental) ) 
255 Mi (reserved) 


2. Identifier 字段 

Identifier 字段 占 一 个 字 节 长 度 , 一 般 来 说 是 一 个 短期 内 无 法 重复 的 数字 ,用 于 匹配 请 
求 与 应 答 。RADIUS 服务 器 能 检测 出 具有 相同 的 客户 源 TP 地 址 \ 源 UDP 端口 及 标识 符 的 

3. Length 字段 

Length 字段 占 两 个 字 节 长 度 , 它 指 的 是 包含 代码 、 标 识 符 , 长 度 . 认 证 者 和 属性 域 的 分 
组 总 长 度 。 超 出 长 度 域 所 指示 的 部 分 将 被 看 作 是 填充 字 节 而 被 忽略 接收 。 如 果 分 组 长 度 比 
长 度 域 所 指示 的 短 , 则 必须 丢弃 该 分 组 。 长 度 值 最 小 为 20 字 节 ,最 大 为 4096 FH. 


4. Authenticator 字段 

Authenticator 字段 占 16 个 字 节 ,用 于 口令 隐藏 算法 ,同时 能 够 认证 RADIUS 服务 器 的 
应 答 。 认 证 码 有 请 求 认证 码 和 响应 认证 码 两 种 。 

(1) 请 求 认证 码 (request authenticator) : 在 接 入 请 求 (access-request) 数 据 包 中 ,认证 
码 值 是 一 个 16 个 字 节 的 随机 二 进 制 数 , 称 为 请 求 认 证 码 。 值 得 注意 的 是 ,在 密 钥 的 整个 
生存 周期 中 ,这 个 值 应 该 是 不 可 预测 的 ,并 且 是 唯一 的 ,因为 具有 相同 密 钥 的 重复 请 求 
值 , 使 黑客 有 机 会 用 已 截取 的 响应 回复 用 户 。 因 为 同一 密 钥 可 以 被 用 在 不 同 地 理 区 域 中 
的 服务 器 的 验证 中 ,所 以 请 求 认证 域 应 该 具有 全 球 和 临时 唯一 性 。 另 外 ,在 请 求 接 人 和 
请 求 计 费 协 议 包 中 的 请 求 认证 码 的 生成 方式 是 有 区 别 的 。 对 于 请 求 接 人 包 , 请 求 认证 码 
是 16 个 8 位 字 节 的 随机 数 。 对 于 计 费 请 求 包 ,认证 码 是 一 串 由 (Code 二 Identifier 十 Length 
十 16 个 为 0 的 8 位 字 节 十 请 求 属性 十 共享 密 钥 ) 所 构成 的 字 节 流 经 过 MD5 加 密 算 法 计 
算出 的 散 列 值 。 

(2) 响应 认证 码 (response authenticator) : 响应 认证 码 是 接 入 允许 、 接 入 拒绝 、 接 入 询 
问 和 计 费 响应 数据 包 中 的 认证 码 值 , 它 包 含 了 在 一 串 字 节 流 上 计算 出 的 单 向 MD5 散 列 ,这 
些 二 进 制 数 由 RADIUS 数据 包 组 成 ,包括 编码 域 标识 符 \ 长 度 以 及 来 自 接 入 请 求 数据 包 的 


请 求 认证 码 和 执行 共享 机 密 的 响应 属性 。 即 : 
ResponseAuth — MD5(Code+ID+ Length+ RequestAuth+ Attributes+ Secret) 


5. Attribute 字段 
Attribute 字段 为 可 变 长 度 , 不 同类 型 的 分 组 其 属性 字段 的 内 容 和 取 值 不 同 。RADIUS 
消息 的 长 度 字段 值 指明 了 属性 列表 的 结束 。 


2113 RADIUS 协议 中 的 属性 


RADIUS 消息 中 最 重要 的 就 是 其 属性 字段 。RADIUS 协议 通过 不 同 的 属性 来 实现 各 
种 操作 的 定义 ,因为 不 同 含义 的 属性 携带 不 同 的 信息 。 认 证 属性 携带 认证 请 求 与 应 答 的 详 
细 认 证 、 授 权 信 息 和 配置 细节 。 计 费 属 性 携带 详细 的 计 费 信息 。 

RADIUS 消息 中 的 各 个 属性 没有 先后 顺序 关系 。 每 个 属性 有 一 个 代码 标识 ,属性 的 基 
本 格式 如 图 2. 1. 2 所 示 。 


01234567012345670123456701234567 
二 二 二 十 -二 二 十 十- 二 十 -二 十 -十 ———————— 
| Type | Length | Value … 

————— -HHH 


图 2.1.2 属性 域 的 格式 


1, 类 型 (type) 

由 1 个 字 节 表示 , 取 值 为 1 一 255。 目 前 分 配 的 范围 为 1 一 63, 具 体内 容 在 RFC 2865、 
RFC 2866 中 进行 了 说 明 。 此 外 ,为 了 在 RADIUS 协议 中 封装 EAP (PPP extensible 
authentication protocol, PPP 的 扩展 认证 协议 ) 包 ,RFC 2869 定义 了 两 个 新 的 属性 : EAP- 
Message(79) 和 Message-Authenticator (80), 其 中 EAP-Message 用 于 封装 EAP 包 , 而 
Message-Authenticator 包含 消息 摘要 以 防止 EAP BE. RADIUS 服务 器 和 客户 端 都 
可 以 忽略 不 可 辨识 类 型 的 属性 。 


2. 长 度 (length) 

由 一 个 字 节 表示 , 它 指定 了 包括 类 型 长度 和 值 域 在 内 的 属性 长 度 。 如 果 在 接收 到 的 接 
入 请 求 中 属性 的 长 度 是 无 效 的 ,应 该 发 送 一 个 接 入 拒绝 数据 包 。 如 果 在 接收 到 的 接 入 允许 、 
接 入 拒绝 和 接 入 询问 中 属性 的 长 度 是 无 效 的 ,该 数据 包 必 须 处 理 为 接 入 拒绝 ,或 者 直接 
丢弃 。 

3. 属性 值 (value) 

可 以 为 0 或 者 多 个 字 节 ,包括 属性 的 详细 信息 。 值 域 的 格式 和 长 度 由 属性 的 类 型 和 长 
度 决定 。 

特别 值得 一 提 的 是 26 号 属性 Vendor-Specific, 它 用 于 NAS 厂商 对 RADIUS 进行 扩 
展 , 以 实现 标准 RADIUS 协议 未 定义 的 功能 ,如 VPN 等 。 此 属性 禁止 对 RADIUS 协议 中 
的 操作 有 影响 。 当 服务 器 不 具备 解释 由 客户 端 发 送 过 来 的 供应 商 特 性 信息 的 能 力 时 , 则 服 
务 器 必须 忽略 这 些 信息 。 


网 络 安全 控制 机 制 


2.1.2 RADIUS 的 安全 处 理 


2121 RADIUS 支持 的 认证 操作 


标准 RADIUS 协议 只 规范 了 NAS 与 RADIUS 服务 器 之 间 交 互 操 作 的 内 容 , 而 对 用 户 
主机 与 NAS 之 间 的 交互 操作 未 作 任何 规定 和 限制 ,所 以 ,由 用 户主 机 与 NAS 协商 来 决定 
他 们 之 间 使 用 何 种 协议 。 

标准 RADIUS 协议 中 描述 了 在 用 户 、NAS、RADIUS 服务 器 三 者 之 间 进 行 的 两 种 基本 
认证 操作 模式 : 请 求 /响应 模式 和 质询 /应 答 模式 。 对 应 着 用 户 与 NAS 之 间 使 用 密码 认证 
协议 (password authentication protocol, PAP) 和 挑战 -握手 认证 协议 (challenge-handshake 
authentication protocol. CHAP)? $ 

对 于 PAP 认证 ,NAS 将 用 户 名 和 密码 作为 明文 传输 给 RADIUS 服务 器 ,RADIUS 根 
据 用 户 和 密码 对 用 户 进行 认证 。 如 果 认 证 通过 , 则 发 送 接 入 允许 的 包 ; 如 果 认 证 未 通过 , 则 
发 送 接 入 拒绝 包 。 

对 于 CHAP 认证 ,NAS 产生 一 个 16 位 的 随机 码 传送 给 用 户 , 用 户 端 得 到 这 个 随机 码 
之 后 对 传 过 来 的 数据 进行 加 密 , 生 成 一 个 响应 数据 包 传 给 NAS。 数 据 包 包含 CHAP ID 和 
对 随机 数 加 密 后 的 数据 。NAS 收 到 这 个 响应 之 后 ,加 上 原先 的 16 位 随机 码 ,一 起 传送 给 
RADIUS 服务 器 。 服 务 器 收 到 这 个 请 求 包 之 后 ,查询 数据 库 找 出 匹配 项 与 认证 服务 器 相 比 
较 , 若 不 满足 , 则 发 送 接 人 拒绝 包 ; 若 满足 , 则 取出 随机 数 和 用 户 共 享 的 加 密 密 码 ,对 随机 数 
采用 同样 的 加 密 得 出 一 个 数据 和 NAS 传送 过 来 的 数据 相 比较 , 若 一 致 , 则 认证 通过 ,和 否则 
拒绝 接 入 。 

请 求 /响应 模式 操作 简单 ,但 因为 用 户 的 口令 等 认证 信息 要 在 网 络 中 传输 ,容易 被 窃听 ， 
安全 性 较 差 。 而 质询 /应 答 模式 就 不 存在 这 种 缺陷 ,因为 用 户 的 口令 信息 不 在 网 络 中 传输 ， 
而 是 通过 随机 产生 的 质询 值 使 得 每 次 传输 的 验证 信息 都 以 不 同 的 方式 来 防止 信息 被 窃听 ， 
具有 较 好 的 安全 性 。 但 是 这 需要 服务 器 端 保存 明文 密码 ,用 来 做 相同 的 加 密 运 算 才 可 以 比 
较 出 结果 。 

现在 ,RADIUS 协议 已 经 扩展 可 以 支持 用 户 与 NAS 之 间 的 多 种 认证 方式 3, 如 
EAPG9 等 。 


2122 用 户 密码 的 处 理 


在 传输 时 ,密码 是 被 隐藏 起 来 的 。 首 先 在 密码 的 末尾 用 nulls 代替 填补 形成 多 个 16 个 
字 节 的 二 进 制 数 。 单 向 MIDS 散 列 是 通过 一 串 字 节 流 计算 出 来 的 ,该 字 节 流 由 共享 密 钥 和 
跟随 其 后 的 请 求 认 证 码 组 成 。 这 个 值 与 密码 的 第 1 个 16 个 字 节 段 相 异 或 ,然后 将 异 或 结果 
放 在 用 户 密码 属性 字符 串 域 中 的 第 1 组 16 个 字 节 中 。 如 果 密 码 长 于 16 个 字 节 , 则 第 2 次 
单 向 MDS 散 列 对 一 串 字 节 流 进行 计算 ,该 字 节 流 由 共享 机 密 和 跟随 其 后 的 第 1 次 异 或 结果 
组 成 。 这 个 散 列 结果 与 密码 的 第 2 组 16 个 字 节 段 相 异 或 ,然后 将 异 或 结果 放 在 用 户 密码 属 
性 字符 串 域 中 的 第 2 组 16 个 字 节 段 中 。 如 果 需 要 ,上 述 计 算 过 程 可 以 重复 。 每 一 个 异 或 结 
果 被 用 于 和 共享 机 密 一 道生 成 下 一 个 散 列 ,再 与 下 一 个 密码 段 相 异 或 ,但 最 大 不 超过 128 个 


925€ 认证 


字 节 。 
其 流程 如 图 2. 1. 3 所 示 ,描述 如 下 : 
CD 调用 共享 机 密 S 和 伪 随 机 128 位 请 求 认证 码 RA. 
(2) 把 密码 按 16 个 字 节 为 一 组 划分 为 P, P» 等 ,在 最 后 一 组 的 结尾 处 用 null 填充 以 
形成 一 个 完整 的 16 字 节 组 。 
(3) 调用 已 加 密 的 数据 组 c;,5; 是 将 要 用 到 的 中 间 值 。 
b, = MD5(S+RA), cy = Pi ÑR b 
b: = MD5(S 十 ca)， c = P, HM b: 


b; = MD5(S + cm), c; = P; SX b, 
(4). 密码 字符 串 包含 cu 十 cz: 十 … 十 ci, 其 中 “十 ”表示 串联 。 
(5) 接收 时 ,这 个 过 程 被 反 过 来 ,从 而 生成 原始 的 密码 。 


bı= MD5( S+RA) 


c=P, xor b, 


i=2 


b,-MDS(S-c, 1) 
1 
N| [ eer xor b, S: 共享 密 钥 
1 RA: 请 求 鉴别 码 
i=i+1 P Py: 拆 分 的 密码 


图 2.1.3 用 户 密码 处 理 流 程 


2123 认证 码 的 处 理 


RADIUS 数据 包 中 的 认证 码 主 要 有 两 个 作用 : 数据 包 的 完整 性 检查 和 对 客户 端的 认 
证 。 由 于 相应 认证 码 产 生 的 时 候 对 整个 数据 包 采 用 共享 机 密 字 加 密 , 所 以 如 果 这 个 共享 机 
密 字 不 一 致 ,那么 服务 器 端 产生 的 认证 码 和 NAS 端 传送 过 来 的 认证 码 会 不 一 致 。 同 时 ,如 
果 数 据 包 在 网 络 中 传输 的 时 候 有 数据 丢失 ,那么 两 个 认证 码 也 会 不 一 致 ,这 样 就 可 以 完成 数 
据 包 的 完整 性 检查 。 其 具体 的 实现 过 程 如 下 : 

CD NAS 根据 一 定 的 算法 ,产生 16 个 8 位 随机 二 进 制 数 作为 请 求 认证 码 , 这 个 值 在 密 
码 的 整个 生存 周期 中 是 不 可 预测 的 ,唯一 的 。 

(2) NAS 构造 请 求 接 入 包 , 发 送 给 RADIUS 服务 器 。 


网 络 安全 控制 机 制 


(3) RADIUS 服务 器 收 到 NAS 的 接 人 请 求 后 根据 用 户 名 在 数据 库 中 查找 匹配 项 , 若 找 
到 匹配 项 ,采用 与 客户 端 一 致 的 方法 将 用 户 密码 以 及 与 客户 端的 共享 机 密 字 进行 加 密 运算 
产生 认证 码 。 

(4) 用 这 个 运算 产生 的 数据 与 NAS 传送 过 来 的 认证 码 加 以 比较 ,如 果 一 致 ,那么 认证 
通过 ,发 送 允 许 接 人 包 , 和 否则 发 送 拒绝 接 人 包 。 

(5) 服务 器 构造 响应 认证 码 。 

(6) 服务 器 根据 上 面 的 响应 认证 码 加 上 前 面 的 认证 结果 构造 响应 包 发 送 给 NAS, 

(7) NAS 收 到 认证 应 答 包 后 ,根据 正在 等 待 响应 的 请 求 队列 中 的 那个 请 求 ,按照 刚 接 
收 到 的 应 答 包 的 内 容 和 其 请 求 认证 码 计算 一 个 响应 认证 码 , 与 RADIUS 服务 器 发 送 过 来 的 
这 个 认证 码 相 比 较 。 若 相等 , 则 认证 通过 ,建立 连接 ,否则 认证 失败 。 
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th F RADIUS 数据 包 采 用 UDP 传输 ,因此 丢失 数据 包 的 可 能 性 非常 大 ,协议 采用 多 种 
措施 保证 数据 传输 的 可 靠 性 。 

CD 无 论 是 认证 请 求 还 是 计 费 请 求 , 在 一 个 指定 的 时 间 内 没有 收 到 回应 ,会 多 次 重 传 ， 
如 果 超 过 一 定 的 时 间 还 没有 收 到 响应 ,那么 可 以 看 作 主 服务 器 已 经 关机 。 这 时 ,NAS 可 以 
选择 给 一 个 或 者 多 个 备用 服务 器 传送 请 求 。 在 多 次 尝试 连接 主 服务 器 失败 后 ,或 在 一 轮 循 
环 方式 结束 后 选择 连接 后 备 服务 器 。 

(2) 为 保障 计 费 请 求 的 连接 ,在 计 费 开始 的 时 候 要 发 送 一 个 计 费 开始 请 求 包 , 一 个 呼叫 
结束 之 后 要 发 送 一 个 计 费 结束 包 。 在 计 费 开始 请 求 和 计 费 结束 请 求 中 必须 包含 一 个 ACCT 
_DELAY_TIME 的 属性 ,记录 从 开始 发 送 请 求 到 计 费 请 求 发 送出 去 之 间 的 时 间 间 隔 ,确保 
计 费 信息 记录 准确 。 


2.1.3 RADIUS 的 工作 过 程 


RADIUS 协议 旨 在 简化 认证 流程 ,其 典型 认证 授权 工作 过 程 如 下 : 

CO 用 户 输入 用 户 名 、 密 码 等 信息 到 客户 端 或 连接 到 NAS, 

(2) 客户 端 或 NAS 产生 一 个 “ 接 入 请 求 (access-request)” 报 文 到 RADIUS 服务 器 ,其 中 包 
括 用 户 名 密码、 客户 端 (或 NAS)ID 和 用 户 访问 端口 的 人 D。 口 令 经 过 MDS 算法 进行 加 密 。 

(3) RADIUS 服务 器 对 用 户 进行 认证 。 

COD 若 认 证 成 功 ,RADIUS 服务 器 向 客户 端 或 NAS 发 送 允 许 接 入 包 (access-accept)， 
否则 发 送 拒绝 接 人 包 (access-reject) 。 

(5) 若 客户 端 或 NAS 接收 到 允许 接 入 包 , 则 为 用 户 建立 连接 ,对 用 户 进行 授权 并 提供 
服务 ,然后 转 和 第 (6) 步 ; 若 接收 到 拒绝 接 和 人 包 , 则 拒绝 用 户 的 连接 请 求 ,结束 协商 过 程 。 

(6) 客户 端 或 NAS 发 送 计 费 请 求 包 给 RADIUS 服务 器 。 

(7) RADIUS 服务 器 接收 到 计 费 请 求 包 后 开始 计 费 ,并 向 客户 端 或 NAS 回 送 开始 计 费 
响应 包 。 
(8) 用 户 断 开 连 接 ,客户 端 或 NAS 发 送 停止 计 费 包 给 RADIUS 服务 器 。 

(9) RADIUS 服务 器 接收 到 停止 计 费 包 后 停止 计 费 ,并 向 客户 端 或 NAS 回 送 停止 计 费 


92€ 认证 
响应 包 ,完成 该 用 户 的 一 次 计 费 ,记录 计 费 信息 。 
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2.2.1 AAA 系统 概述 


AAA 指 的 是 authentication( 认 证 ) ,authorization( 授 权 ) 和 accounting( 计 费 ) 。 自 网 络 
诞生 以 来 ,认证 ,授权 以 及 计 费 体制 就 成 为 其 运营 的 基础 。 网 络 中 各 类 资源 的 使 用 ,需要 由 
认证 ,授权 和 计 费 进行 管理 。 而 AAA 的 发 展 与 变迁 自始至终 都 吸引 着 营运 商 的 目光 。 对 
于 一 个 商业 系统 来 说 ,认证 是 至 关 重 要 的 ,只 有 确认 了 用 户 的 身份 ,才能 知道 所 提供 的 服务 
应 该 向 谁 收费 ,同时 也 能 防止 非法 用 户 对 网 络 进行 破坏 。 在 确认 用 户 身 份 后 ,根据 用 户 开户 
时 所 申请 的 服务 类 别 , 系 统 可 以 授予 客户 相应 的 权限 。 最 后 ,在 用 户 使 用 系统 资源 时 ,需要 
有 相应 的 设备 来 统计 用 户 对 资源 的 占用 情况 , 据 此 向 用 户 收 取 相 应 的 费用 。 

其 中 ,认证 是 指 用 户 在 使 用 网 络 系统 中 的 资源 时 对 用 户 身份 的 确认 。 这 一 过 程 ,通过 与 
用 户 的 交互 获得 身份 信息 (诸如 用 户 名 口令 的 组 合生 物 特征 等 ), 然 后 提交 给 认证 服务 器 ; 
后 者 对 身份 信息 与 存储 在 数据 库 里 的 用 户 信 息 进行 核对 处 理 ,然后 根据 处 理 结果 确认 用 户 
身份 是 否 正确 。 授 权 是 指 网 络 系统 授权 用 户 以 特定 的 方式 使 用 其 资源 ,这 一 过 程 指 定 了 被 
认证 的 用 户 在 接 入 网 络 后 能 够 使 用 的 业务 和 拥有 的 权限 ,如 授予 的 IP 地 址 等 。 计 费 是 指 网 
络 系统 收集 、 记 录用 户 对 网 络 资源 的 使 用 ,以 便 向 用 户 收 取 资 源 使 用 费用 ,或 者 用 于 审计 等 
目的 。 

认证 ,授权 和 计 费 一 起 实现 了 网 络 系统 对 特定 用 户 的 网 络 资源 使 用 情况 的 准确 记录 。 
这 样 既 在 一 定 程度 上 有 效 地 保障 了 合法 用 户 的 权益 ,又 能 有 效 地 保障 网 络 系统 安全 可 靠 地 


运行 。 
2.2.2 AAA 系统 的 设计 需求 


这 里 的 AAA 服务 器 是 为 流 媒 体系 统 设计 的 ,完成 接 入 认证 ,授权 以 及 计 费 的 功能 , 采 
用 RADIUS 协议 实现 AAA 服务 功能 ,同时 系统 提供 用 户 和 计 费 信息 的 存储 与 管理 等 功 
能 。 该 系统 需求 主要 包括 以 下 几 个 方面 : 

(1) 用 户 认 证 。 用 户 在 申请 享受 服务 时 ,需要 得 到 用 户 信息 的 认证 。 在 本 系统 中 ,客户 
端 发 送 AAA 认证 数据 包 给 服务 器 ,数据 包 包含 用 户 ID 和 Password, 服 务 器 对 数据 包 进行 
验证 给 出 结果 。 验 证 过 程 中 数据 包 加 密 传输 。 

(2) 用 户 服务 授权 。 不 同 的 用 户 可 以 享受 不 同 的 服务 。AAA 服务 器 在 通过 用 户 的 认 
证 请 求 后 ,按照 该 用 户 的 权限 来 决定 用 户 是 否 可 以 享受 申请 的 服务 内 容 。 

(3) 服务 计 费 。 系 统 提供 基本 的 计 费 信息 和 计 费 算法 ,支持 一 定 的 计 费 策略 ,并 保存 计 
费 过 程 产生 的 中 间 数 据 。 系 统 需 达 到 实时 计 费 的 要 求 。 计 费 的 最 小 单位 为 分 ,能 够 保证 用 
户 不 会 透支 费用 。 

(4) 用 户 信息 管理 。 用 户 信息 管理 的 主要 功能 包括 用 户 注 册 、 费 用 管理 查询 权限 设置 
等 。 用 户 需要 注册 才能 申请 享受 服务 ,用户 注 册 时 提供 用 户 名 、 密 码 和 邮箱 等 基本 资料 , 且 
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提供 密码 遗忘 时 找 回 密码 的 功能 。 用 户 可 以 查询 自己 费用 的 详细 信息 ,可 以 给 账户 充值 。 
管理 员 能 对 注册 用 户 进行 管理 。 

(5) 服务 器 性 能 。AAA 系统 中 需要 考虑 的 服务 器 性 能 包括 : 

CD 服务 器 的 可 处 理 容量 ,包括 支持 用 户 数 和 在 某 一 段 时 间 内 支持 的 并 发 用 户 数 ; 

© 可 靠 性 ,由 于 网 络 原因 ,数据 在 传输 中 常常 会 丢失 ,如 何 减 少 这 种 丢失 ,为 认证 计 费 
提供 尽量 可 靠 的 传输 是 需要 考虑 的 问题 ; 

C) 鲁 棒 性 , 即 容 错 性 ,发 生 不 可 避免 地 丢 包 时 如 何 保证 认证 和 计 费 过 程 的 正确 性 ; 

© 请 求 响应 时 间 , 用 户 在 发 出 请 求 到 收 到 应 答 的 间隔 时 间 不 能 太 长 ; 

© 最 后 ,对 于 一 个 研究 中 的 流 媒体 平台 来 说 ,用 户 的 需求 是 在 不 断 扩展 的 。AAA 系统 的 
设计 需要 充分 考虑 这 一 点 ,意味 着 系统 的 可 扩展 性 将 非常 重要 。 对 于 系统 的 各 个 模块 来 说 ,其 
部 分 的 改动 应 该 不 会 影响 到 其 他 模块 的 正常 运行 , 且 系统 模块 的 增加 应 该 是 容易 做 到 的 。 


2.2.3 AAA 系统 的 整体 结构 


本 节 介 绍 的 AAA 系统 除 包括 认证 、 计 费 服务 器 以 外 ,还 包括 用 户 和 计 费 信息 的 存储 、 
用 户 和 计 费 策略 管理 等 。 整 体 结构 如 图 2. 2. 1 所 示 ,系统 交互 如 图 2. 2. 2 所 示 。 
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图 2.2.1 AAA 系统 功能 模块 示意 图 
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图 2.2.2 AAA 系统 交互 示意 图 


第 2 章 认证 


考虑 到 扩展 性 . 计 费 准确 性 以 及 各 部 分 性 能 要 求 ,我们 将 AAA 服务 器 分 为 认证 /授权 
和 计 费 服务 器 两 大 部 分 ,这 种 结构 为 典型 的 AAA 系统 架构 。 这 种 结构 可 以 很 容易 地 扩展 
为 一 台 认证 服务 器 十 多 台 计 费 服务 器 ,或 者 多 台 认 证 服务 器 十 多 台 计 费 服务 器 的 架构 ,以 适 
合 不 同 规模 的 流 媒体 平台 应 用 。 

在 整个 AAA 系统 中 ,RADIUS 服务 器 之 间 以 及 RADIUS 认证 服务 器 与 NAS 的 通信 
遵循 RADIUS 协议 标准 :用户 信 息 和 计 费 信息 保存 在 MySQL 数据 库 中 ,信息 管理 通过 
Web 页 面 形式 进行 管理 ,发 布 平台 采用 PHP 十 MySQL 的 方式 。 


2.2.4 AAA 系统 的 基本 设计 思想 


在 流 媒体 系统 中 ,RADIUS 服务 器 要 处 理 5 个 方面 的 内 容 : 用 户 的 认证 处 理 、 用 户 的 授 
权 处 理 . 计 费 开 始 信号 的 处 理 . 计 费 结束 信号 的 处 理 和 中 止 用 户 服务 信号 的 处 理 。 服 务 器 大 
致 来 说 包括 3 个 重要 的 处 理 模块 : 收发 包 处 理 模 块 . 计 费 /认证 处 理 模块 和 代理 Client, FE 
中 ,收发 包 处 理 模块 的 功能 主要 是 接收 NAS 端 发 送 过 来 的 RADIUS 数据 包 , 对 之 作 相应 的 
处 理 ,然后 把 数据 包 转 发 给 认证 / 计 费 处 理 模 块 , 以 及 将 服务 器 处 理 过 的 数据 包 按 照 
RADIUS 协议 打包 ,然后 发 送 到 NAS, 

认证 / 计 费 处 理 模块 的 主要 功能 是 对 发 送 过 来 的 数据 包 进 行 认证 和 计 费 处 理 。 如 果 是 
本 地 认证 , 则 对 数据 包 直 接 处 理 ; 如 果 是 一 个 漫游 , 则 向 上 级 服务 器 转发 这 个 请 求 。 

代理 Client 的 主要 功能 是 根据 要 求 , 将 非 本 地 认证 / 计 费 请 求 按 要 求 转发 给 相应 的 上 级 
服务 器 ,同时 接受 上 级 服务 器 处 理 过 的 请 求 , 将 之 转发 给 收发 包 处 理 模块 ,由 收发 包 处 理 模 
块 转发 到 NAS 终端 。 

RADIUS 服务 器 的 内 部 数据 处 理 的 流程 如 图 2. 2. 3 Bros ,描述 如 下 : 

CD 收发 包 处 理 模块 接收 到 来 自 NAS 即 RADIUS Client 的 认证 / 计 费 请 求 , 将 其 转交 
给 认证 / 计 费 处 理 模块 处 理 , 也 就 是 图 2. 2. 3 的 “请 求 包 1” 的 过 程 ; 

(2) 如 果 计 费 /认证 处 理 模块 不 能 对 (1) 发 送 过 来 的 请 求 包 进 行 处 理 , 则 将 其 作为 “请 求 
f 2 转发; 

(3) 代理 Client 对 “请 求 包 2” 处 理 , 然 后 作为 “请 求 包 3” 向 上 级 转发 数据 包 , 请 求 上 级 
RADIUS 服务 器 作 响 应 的 计 费 /认证 处 理 ; 

(4)“ 回 答 包 1” 是 收发 处 理 模 块 收 到 的 来 自 上 级 的 RADIUS 服务 器 的 应 答 ,转发 给 代 
理 Client 处 理 ; 


收发 包 处 理 


答 包 3 


图 2.2.3 服务 器 内 部 数据 处 理 流程 
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(5)“ 回 答 包 2? 是 来 自 计 费 /认证 处 理 模 块 的 数据 包 , 是 认证 / 计 费 处 理 模 块 对 用 户 认 
证 / 计 费 的 处 理 结果 ,发 送 给 收发 包 处 理 模 块 转发 给 NAS 的 ; 

(6)“ 回 答 包 3” 是 代理 Client 对 上 级 的 RADIUS 服务 器 的 “应 答 包 1” 处 理 后 交 由 收发 
处 理 模 块 转发 的 数据 包 。 

RADIUS 服务 器 与 客户 端 连接 如 图 2. 2.4 所 示 。 


建立 套 接 字 
绑 定 端口 
建立 套 接 字 1812 认 证 , 1813 计 费 
1 接收 数据 
发 送 数据 Hit 
Site | 阻塞 直到 接收 到 客户 端 数据 


接收 数据 
Lly, " 处 理 请 求 

1 < 1 
断 开 连 接 发 送 数据 


图 2.2.4 RADIUS 服务 器 与 客户 端 连接 示意 图 
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225.1 服务 器 软件 设计 算法 


在 服务 器 的 控制 设计 方案 中 ,可 以 是 循环 的 或 并 发 的 ,可 以 使 用 面向 连接 的 传输 或 无 连 
接 的 传输 。 通常, 我 们 把 服务 器 划分 为 4 种 类 型 : 无 连接 循环 服务 器 、 面 向 连接 循环 服务 
器 ,无 连接 并 发 服务 器 以 及 面向 连接 并 发 服务 器 等 。 


1. 无 连接 循环 服务 器 

这 是 最 常见 的 无 连接 服务 器 的 形式 ,特别 适用 于 要 求 对 每 个 请 求 进行 少量 处 理 的 服务 。 
循环 服务 器 往往 是 无 状态 的 ,这 使 其 易于 理解 而 且 不 易 出 错 。 

无 连接 循环 服务 器 的 基本 算法 如 下 : 

(1) 创建 套 接 字 并 将 其 绑 定 到 所 提供 服务 的 端口 上 ; 

(2) 重复 读 取 来 自 客户 的 请 求 ,构造 响应 ,按照 应 用 协议 向 客户 发 回响 应 。 


2. 面向 连接 循环 服务 器 

这 是 较 常 见 的 服务 器 类 型 , 它 适 用 于 要 求 对 每 个 请 求 进行 少量 处 理 且 要 求 有 可 靠 的 传 
。 该 类 型 中 ,建立 和 终止 连接 相关 的 开销 可 能 很 高 ,平均 响应 时 间 可 能 并 不 短 。 

面向 连接 循环 服务 器 的 基本 算法 如 下 : 

(1) 创建 套 接 字 并 将 其 绑 定 到 所 提供 服务 的 端口 上 ; 
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(2) 将 该 端口 设置 为 被 动 模式 ,使 其 准备 为 服务 器 所 用 ; 

G) 从 该 套 接 字 上 接收 下 一 个 连接 请 求 ,获得 该 连接 的 新 的 套 接 字 ; 

CD 重复 地 读 取 来 自 客户 的 请 求 ,构造 响应 ,按照 应 用 协议 向 客户 发 回响 应 ; 
O 当 与 某 个 特定 客户 完成 交互 时 ,关闭 连接 ,并 返回 步骤 (3) 以 接收 新 的 连接 。 


3. 无 连接 并 发 服务 器 

这 是 一 种 不 常见 的 服务 器 类 型 ,服务 器 要 为 处 理 每 个 请 求 创建 一 个 新 线程 或 进程 。 在 
许多 系统 中 ,创建 线程 或 进程 所 增加 的 开销 决定 了 由 并 发 性 所 获得 的 效率 。 为 证 明 并 发 性 
是 可 取 的 ,要 么 创建 一 个 新 线程 或 进程 所 要 求 的 时 间 必 须 明 显 地 小 于 计算 响应 所 需 的 时 间 ， 
要 么 并 发 地 请 求 必须 能 够 同时 使 用 多 个 10 设备 。 

无 连接 并 发 的 服务 器 的 最 简单 的 版 本 遵循 下 面 的 算法 : 

EREL 创建 套 接 字 并 将 其 绑 定 到 所 提供 服务 的 熟知 地 址 上 ,让 该 套 接 字 保持 为 未 连 
Bg s 

主线 程 2. 反复 调用 recvfrom 接收 来 自 客户 的 下 一 个 请 求 ,创建 一 个 新 的 从 线程 (可 能 
在 一 个 新 的 进程 中 ) 来 处 理 响 应 ; 

从 线程 1， 从 来 自主 进程 的 特定 请 求 以 及 到 该 套 接 字 的 访问 开始 ; 

从 线程 2. 根据 应 用 协议 构造 应 答 ,并 用 sendto 将 该 应 答 发 回 客户 s 

从 线程 3. 退出 。 


4. 面向 连接 并 发 服务 器 

这 是 最 一 般 的 服务 器 类 型 , 它 提供 了 可 靠 的 传输 以 及 并 发 处 理 多 个 请 求 的 能 力 。 最 常 
见 的 实现 使 用 了 并 发 进程 或 并 发 线程 来 处 理 每 个 连接 ,另外 可 以 依赖 单线 程 和 异步 I/O 处 
理 多 个 连接 。 

无 连接 循环 服务 器 的 基本 算法 如 下 : 

主线 程 1. 创建 套 接 字 并 将 其 绑 定 到 所 提供 服务 的 熟知 地 址 上 ,让 该 套 接 字 保持 为 非 连 
接 的 ; 

主线 程 2. 将 该 端口 设置 为 被 动 模式 ,使 其 准备 为 服务 器 所 用 ; 

主线 程 3. 反复 调用 accept 以 便 接收 来 自 客户 的 下 一 个 连接 请 求 ,并 创建 新 的 从 线程 
或 进程 来 处 理 响 应 ; 

从 线程 1. 由 主线 程 传递 来 的 连接 请 求 ( 即 针对 连接 的 套 接 字 ?开始 ， 

从 线程 2. 用 该 连接 与 客户 进行 交互 , 读 取 请 求 并 发 回响 应 ; 

从 线程 3. 关闭 连接 并 退出 。 在 处 理 完 来 自 客户 的 所 有 请 求 之 后 ,从 线程 就 退出 。 

因为 RADIUS 协议 建立 在 UDP 之 上 , 故 服务 器 使 用 无 连接 循环 服务 器 。 其 通常 做 法 
是 采用 状态 机 和 流水 线 来 控制 数据 的 流向 。 


2252 RADIUS 状态 


RADIUS 请 求 包 在 整个 处 理 过 程 中 分 为 以 下 几 种 状态 : 空闲 、 认 证 / 计 费 、 待 发 送 、 代 理 
和 出 错 状态 。 在 程序 实现 时 ,用 线性 表 来 记录 包 的 状态 ,状态 机 如 图 2. 2. 5 所 示 。 

(1) 空闲 状态 。 该 包 中 无 任何 数据 。 在 该 状态 中 ,对 包 不 作 任 何 处 理 。 当 有 “请 求 包 
到 ”事件 触发 后 ,状态 转 为 认证 / 计 费 ”状态 。 


网 络 安全 控制 机 制 


代理 (2) 


图 2.2.5 RADIUS 服务 器 处 理 请 求 包 的 状态 机 


(2) 认证 / 计 费 状态 。 该 包 是 NAS 或 下 级 RADIUS 服务 器 发 来 的 请 求 包 。 当 处 于 此 
状态 中 的 包 进行 认证 / 计 费 处 理 时 ,如 果 数 据 出 错 ,不 需要 发 应 答 消 息 , 则 变 为 出错” 状态 ; 
如 果 数 据 正确 , 需 发 回应 答 消息 ,组 成 应 答 包 , 则 状态 变 为 “ 待 发 送 " 状 态 。 如 果 认 证 / 计 费 用 
户 不 在 本 地 , 即 漫游 用 户 , 对 包 需 要 作 代 理 认证 / 计 费 处 理 , 则 状态 变 为 “代理 Client” 状 态 。 

(3) 代理 Client 状态 。 该 包 是 经 过 认证 / 计 费 处 理 过 的 ,认为 需要 代理 认证 / 计 费 处 理 。 
对 该 包 作 代理 认证 / 计 费 处 理 , 向 上 级 RADIUS 服务 器 发 送 代理 请 求 包 , 等 待 上 级 发 回应 
答 ,车 超时 无 应 答 , 则 状态 变 为 “出 错 ” 状 态 ; 当 有 上 级 发 回应 答 包 时 , 则 状态 变 为 “ 待 发 送 ” 

CA) 待 发 送 状 态 。 对 于 该 请 求 包 将 有 应 答 包 发 送 。 向 NAS 或 下 级 RADIUS 服务 器 发 
送 应 答 包 ,发送 完毕 ,状态 变 为 “空闲 ?状态 。 

(5) 出 错 状态 。 该 包 出 错 , 进 行 出 错 处 理 , 根 据 情况 给 管理 员 警 告 消息 。 处 理 完 转 为 空 
闲 状态 。 


2253 流水 线 方 案 


采用 双 队 列 无 状态 流水 线 的 设计 方案 ,具有 以 下 优点 : 
(1) 流程 清晰 ,设计 简单 ; 

(2) 数据 包 经 流水 处 理 , 几 乎 不 存在 等 待 队列 的 控制 权 问 题 ,处理 速度 大 为 提高 ; 
(3) 对 异常 情况 处 理 能 力 有 所 提高 。 

双 队 列 无 状态 流水 线 的 设计 方案 如 图 2. 2.6 所 示 。 
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图 2.2.6 服务 器 流水 线 设计 方案 


第 2 章 认证 


接 人 包 1: KA NAS 中 的 RADIUS Client,; 由 “ 收 包 处 理 ” 加 入 “接收 队列 ”; 

接 入 包 2: 来 自 “ 接 收 队列 ”, 由 处 理 线程 取出 。 如 果 是 请 求 包 ,进行 认证 / 计 费 处 理 , 如 
果 认 证 / 计 费 服务 器 不 能 对 请 求 包 完 成 认证 / 计 费 处 理 , 则 将 其 转 为 发 送 包 1, 向 上 级 
RADIUS Server 发 请 求 ,请求 上 级 RADIUS Server 作 认 证 / 计 费 处 理 ; 如果 是 上 级 
RADIUS Server 的 回答 包 , 则 将 其 转 为 发 送 包 1, 发 回 NAS; 

发 送 包 1: 将 用 户 的 认证 / 计 费 结果 和 向 上 级 RADIUS Server 发 出 的 请 求 包 加 入 “发 送 
队列 ,等候 发 送 线程 将 其 发 出 ; 

发 送 包 2: 来 自 “ 发 送 队 列 ”,“ 发 送 线程 ”根据 目的 地 址 将 包 发 出 。 


2.2.6 RADIUS 认证 服务 器 


2261 总 体 结构 设计 


RADIUS 协议 本 身 没 有 对 数据 传输 作 要 求 ,使 用 UDP 协议 ,这 使 得 RADIUS 协议 数 
据 包 传输 不 可 靠 。 数 据 包 的 丢 包 可 能 发 生 在 网 络 传 输 的 环节 ,也 可 能 发 生 在 数据 接收 端 。 
RADIUS 认证 服务 器 作为 RADIUS 系统 对 NAS 的 服务 前 端 ,必须 考虑 在 RADIUS 协议 包 
大 量 并 发 情况 下 的 性 能 ,包括 丢 包 率 、 应 答 延 迟 时 间 、 待 处 理 数据 包 排队 情况 等 。 为 此 ， 
RADIUS 服务 器 需要 合理 地 利用 系统 资源 加 以 均衡 ,以 避免 在 服务 器 大 量 存在 需要 处 理 的 
数据 包 的 同时 CPU 大 量 空闲 。 

认证 的 流程 如 图 2. 2.7 所 示 。 对 于 一 个 认证 请 求 ,如 果 不 包 括 Proxy 处 理 , 则 正常 情况 
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图 2.2.7 认证 流程 图 


网 络 安全 控制 机 制 


下 要 经 过 授权 和 认证 两 个 过 程 。 授 权 是 从 外 部 (文件 或 者 数据 库 ) 获 得 一 个 用 户 信 息 的 处 理 
过 程 ,以 及 检查 这 些 信 息 是 否 能 够 对 这 个 用 户 的 验证 。 数 据 库 以 及 文件 等 模块 都 属于 授权 
模块 。 

认证 方法 在 授权 处 理 的 过 程 中 决定 ,因为 一 个 特定 的 用 户 也 许 不 能 采用 某 种 认证 方法 ， 
所 以 在 授权 处 理 的 过 程 中 决定 某 用 户 采 用 哪 种 认证 方法 或 者 发 送 拒 绝 接 入 信息 。 

在 一 个 认证 和 授权 的 处 理 过 程 中 .有 3 个 相关 的 队列 : request 队列 、config 队列 和 
reply 队列 ,每 个 认证 请 求 数据 包 的 属性 都 被 十 入 request 队列 ,认证 和 授权 模块 都 可 以 将 属 
性 添加 到 reply 队列 中 。 这 些 被 添加 到 reply 中 的 属性 将 被 收发 包 处 理 模块 打包 发 送 给 客 
户 端 。 

在 授权 处 理 开 始 的 时 候 , 系 统 为 一 个 请 求 创建 一 个 request 属性 队列 和 一 个 空 的 config 
属性 队列 。 授 权 模块 根据 请 求 队列 项 中 的 属性 (比如 User-Name) 作 为 主键 查询 以 及 获取 
数据 库 中 的 所 有 相关 记录 , 它 查询 3 种 类 型 的 属性 : 验证 属性 ,配置 属性 以 及 应 答 属 性 。 它 
将 取出 的 验证 属性 和 request 队列 中 传送 过 来 的 属性 值 相 比较 。 如 果 数 据 库 中 根据 主键 取 
出 的 属性 和 request 队列 中 的 属性 没有 一 个 匹配 ,那么 授权 处 理 失败 。 如 果 有 一 个 相 匹 配 ， 
那么 这 个 匹配 的 属性 要 被 加 入 到 config 队列 中 ,同时 所 取出 的 应 答 属性 都 要 被 加 入 到 reply 
队列 中 。 授 权 模块 最 少 要 给 认证 模块 传送 一 个 属性 , 那 就 是 Auth-Type, 这 个 属性 将 决定 采 
用 什么 模块 认证 该 用 户 。 同 时 ,授权 模块 还 可 以 传送 诸如 用 户 密码 或 hash 处 理 后 的 密码 ， 
以 及 登录 限制 等 信息 。 

对 于 一 个 用 户 账号 ,我们 只 允许 该 用 户 名 在 同一 时 间 内 只 能 有 一 个 计 费 服务 的 会 话 连 
接 。 也 就 是 说 ,在 用 户 享受 我 们 提供 的 服务 时 ,我 们 不 让 该 用 户 名 再 次 登录 ,这 样 才能 保证 
我 们 的 计 费 系统 正常 地 实时 计 费 。 


2262 改进 RADIUS 认证 协议 的 安全 


在 目前 RADIUS 协议 中 ,对 用 户 密 码 属性 采取 的 算法 为 User-Password = Password 
(不 足 16 位 填 0) KOR MDS (公用 密 钥 十 请 求 认证 ) 。 在 这 种 算法 中 ,破坏 者 可 以 截获 数据 
报 获得 用 户 的 密码 ,利用 大 量 截获 的 数据 进行 分 析 , 猜 测 用 户 密码 ,因而 存在 着 潜在 的 网 络 
安全 问题 。 如 果 人 为 地 从 内 部 网 络 进行 破坏 ,共享 密 钥 的 泄露 会 导致 严重 的 灾难 。 而 且 用 
户 的 密码 是 以 明文 的 方式 存在 于 数据 库 中 ,数据库 的 管理 员 可 以 毫 不 费力 地 看 到 用 户 的 明 
文 密码 ,这 对 用 户 来 说 也 是 一 个 很 大 的 安全 隐患 。 

在 本 节 的 系统 里 ,对 目前 的 RADIUS 协议 的 认证 部 分 进行 了 一 定 的 改进 。 改 进 后 的 
RADIUS 认证 算法 并 没有 放弃 使 用 MD5 算法 ,而 是 对 RADIUS 的 认证 方式 作 了 一 些 改 
进 ,增加 了 网 络 的 安全 性 能 ,使 对 MD5 的 攻击 并 不 是 轻而易举 的 ;而 在 网 络 的 传输 过 程 中 ， 
对 用 户 密 码 的 保护 也 采取 了 适当 的 算法 ,增加 用 户 认 证 的 安全 性 。 我 们 的 RADIUS 认证 算 
法 在 RADIUS 的 客户 端 对 用 户 密码 生成 MD5 散 列 值 ,然后 再 进行 相应 的 密码 处 理 ,而 服务 
器 数据 库 里 保存 的 也 是 用 户 密 码 的 MDS 散 列 值 。 这 样 ,网 上 破坏 者 最 多 也 就 是 获得 用 户 
密码 的 MDS 散 列 值 , 数 据 库 管 理 员 看 到 的 也 是 用 户 密 码 的 MD5 散 列 值 ,从 一 定 程度 上 增 
加 了 用 户 认 证 的 安全 性 。 


2.2.7 RADIUS 计 费 服务 器 


计 费 服务 器 需要 满足 以 下 几 个 要 求 : 

COD 接收 并 处 理 标 准 RADIUS 计 费 数据 包 ; 

(2) 根据 给 定 策略 ,能 够 准确 并 实时 地 计算 当前 某 用 户 会 话 的 费用 ,计算 的 最 小 时 间 粒 
度 为 分 ; 

(3) 对 每 项 服务 中 用 户 的 账户 状态 实时 监控 ,并 在 需要 时 反馈 到 密 钥 管理 服务 器 ,保证 
用 户 不 会 恶意 透支 。 

计 费 服务 器 的 接收 数据 部 分 与 认证 /授权 部 分 类 似 , 同 样 地 , 计 费 服务 器 的 主要 任务 是 
接收 RADIUS 计 费 数据 包 , 根 据 包 中 的 计 费 信息 进行 服务 费用 计算 ,所 以 采用 线程 池 来 进 
行 计 费 数据 包 的 处 理 和 费用 计算 。 由 于 支持 实时 计 费 , 即 需 要 对 用 户 账户 状态 进行 实时 监 
控 , 所 以 需要 有 一 个 线程 来 做 定时 扫描 和 监控 工作 ,保证 整个 计 费 过 程 的 正确 性 ,以 及 防止 
用 户 的 恶意 透支 。 

计 费 系统 每 隔 一 段 时 间 产 生 定 时 消息 ,判断 现 有 用 户 是 否 符 合 监控 标准 ,如 果 符 合 , 则 
启动 监控 线程 对 该 用 户 进行 监控 。 当 被 监视 的 用 户 余额 不 足 时 ,停止 该 用 户 的 服务 。 该 监 
控 线程 还 监控 成 员 管 理 服 务 器 发 来 的 用 户 异 常 消息 ,如 果 客 户 端 长 时 间 没 有 响应 , 即 视 为 用 
户 已 经 退出 服务 ,停止 该 用 户 的 服务 和 计 费 。 

此 外 ,考虑 到 万 一 服务 器 出 现 问题 而 导致 关闭 或 重启 情况 的 发 生 ,那么 在 服务 器 关闭 或 
重启 时 应 该 对 客户 端 会 话 进行 处 理 , 中 断 客 户 端的 当前 连接 并 停止 计 费 。 客 户 端 需要 重新 
进行 身份 认证 和 发 送 计 费 消息 才 可 以 享受 服务 。 


2.2.8 系统 宛 余 容错 处 理 


系统 的 某 些 部 件 如 果 发 生 错误 将 会 引起 系统 失效 ,这 些 错误 包括 存储 器 、 网 络 连接 设 
备 、 软 件 等 ,而 认证 / 计 费 服务 器 属于 重要 的 分 布 式 系统 ,我 们 需要 系统 在 部 分 部 件 出 错时 仍 
能 够 正常 工作 。 由 于 系统 中 部 件数 量 较 多 ,系统 可 靠 性 显得 尤为 重要 。 

1. 宛 余 设 计 

解决 容错 的 办 法 通常 是 使 用 元 余 技 术 。 元 余 技术 包括 3 类 技术 : 信息 元 余 . 时 间 宛 余 
和 物理 元 余 。 物 理 宛 余 是 指使 用 额外 的 部 件 使 得 整个 系统 能 够 容许 一 些 部 件 的 损失 或 失 
效 。 在 组 织 宛 余 服务 器 时 ,有 两 种 可 用 的 办 pone UU res 1 
法 : 主动 复制 和 主机 后 备 。 主 机 后 备 的 基本 
思想 是 在 任何 时 刻 都 有 一 台 服 务 器 是 主机 E 
完成 所 有 的 工作 , 若 这 个 服务 器 失效 了 ,后 备 
服务 器 将 承担 其 任务 。 图 2. 2. 8 为 主机 后 备 

对 于 服务 器 的 客户 端 ,服务 器 1 和 服务 器 
2 是 相同 的 ,两 个 服务 器 并 行 工作 , 当 其 中 一 一 一 一 5 
个 服务 器 长 时 间 没 有 响应 时 , 即 认为 其 失效 ， 图 2.2.8 主机 后 备 示 意图 


服务 器 1 


服务 器 2 


166: 。 网 络 安全 控制 机 制 


此 时 向 男 一 个 服务 器 请 求 。 这 样 , 既 保证 容错 又 可 以 使 服务 器 负载 均衡 。 服 务 器 与 数据 库 
采用 了 “一 读 两 写 ” 的 方式 , 即 对 于 查询 操作 ,服务 器 向 任意 一 个 数据 库 查 询 均 可 ;对 于 修改 
操作 ,如 两 数据 库 均 工作 正常 , 则 服务 器 向 两 数据 库 同时 发 送 命令 ,在 两 数据 库 都 响应 后 , 才 
认为 操作 成 功 。 这 种 方式 可 以 有 效 地 保证 数据 库 内 容 一 致 。 

2. 异常 处 理 设计 

服务 器 的 任何 异常 均 被 记录 在 日 志文 件 里 ,并 立即 警告 管理 员 ,以 便 管 理 员 进行 相应 检 
查 。 当 数据 库 发 生 异 常 时 ,系统 根据 错误 码 判断 是 否 为 严重 错误 ,如 果 是 , 则 关闭 相应 数据 
库 连 接 , 并 采用 另 一 数据 库 继 续 进 行 认 证 、 计 费 服务 ,同时 发 出 警告 ,提示 管理 员 检查 相应 数 
据 库 。 管 理 员 处 理 故障 后 ,可 在 服务 器 正常 工作 的 情况 下 重新 连接 并 恢复 数据 库 。 


23 下 一 代 AAA 协议 一 一 Diameter 协议 


随 着 新 接 入 技术 的 引入 (如 无 线 接 入 、DSL ,移动 IP 和 以 太 网 ) 和 接 人 网 络 的 快速 扩容 ， 
越 来 越 复杂 的 路 由 器 和 接 入 服务 器 大 量 投入 使 用 ,对 AAA 协议 提出 了 新 的 要 求 , 使 得 传统 
的 RADIUS 结构 的 缺点 日 益 明显 。 目 前 ,3G 网 络 正 逐步 向 全 IP. 网 络 演进 ,不 仅 在 核心 网 
络 使 用 支持 TP 的 网 络 实体 ,在 接 入 网 络 也 使 用 基于 IP 的 技术 ,而且 移 动 终端 也 成 为 可 激活 
AY IP 客户 端 。 如 在 WCDMA 当前 规划 的 R6 版 本 就 新 增 了 以 下 特性 : UTRAN 和 CN f£ 
输 增强 ;无 线 接口 增强 ;多 媒体 广播 和 多 播 服 务 (multimedia broadcast multicast service, 
MBMS) ;数字 权限 管理 (digital rights management, DRM); WLAN-UMTS 互通 ;优先 业 
务 ; 通 用 用 户 信 息 (GUP) ;网 络 共享 :不同 网 络 间 的 互通 等 。 在 这 样 的 网 络 中 ,移动 IP 将 被 
广泛 使 用 。 支 持 移动 IP 的 终端 可 以 在 注册 的 家 乡 网 络 中 移动 ,或 漫游 到 其 他 运营 商 的 网 
络 。 当 终端 要 接 入 到 网 络 ,并 使 用 运营 商 提 供 的 各 项 业务 时 ,就 需要 严格 的 AAA 过 程 。 
AAA 服务 器 要 对 移动 终端 进行 认证 ,授权 允许 用 户 使 用 的 业务 ,并 收集 用 户 使 用 资源 的 情 
况 ,以 产生 计 费 信息 。 这 就 需要 采用 新 一 代 的 AAA 协议 一 一 Diameter 协议 。 此 外 ,在 
IEEE 的 无 线 局 域 网 协议 802. 16e 的 建议 草案 中 ,网 络 参考 模型 里 也 包含 了 认证 和 授权 服务 
器 ,以 支持 移动 台 在 不 同 基 站 之 间 的 切换 。 可 见 ,在 未 来 移动 通信 系统 中 ,AAA 服务 器 占 
据 了 很 重要 的 位 置 。 

IETF 的 AAA 工作 组 已 同意 将 Diameter 协议 作为 下 一 代 的 AAA 协议 标准 。 
Diameter 协议 的 设计 目的 是 创建 一 个 能 够 充分 满足 目前 乃至 今后 IP 网 络 ( 包 括 NGN 和 
3G 等 ) 用 户 访 问 控制 要 求 的 AAA 协议 。Diameter 协议 在 设计 时 ,克服 了 现 有 AAA 技术 
的 许多 不 足 , 并 保持 了 对 广 为 使 用 的 RADIUS 的 兼容 ,而 且 它 被 设计 得 非常 灵活 ,容易 进行 
新 应 用 的 扩展 ,以 满足 新 的 要 求 。 所 以 它 不 但 为 互联 网 所 采用 ,也 受到 了 下 一 代 移 动 通信 网 
的 欢迎 。 在 ITU,3GPP 和 3GPP2 等 国际 标准 组 织 中 ,都 已 经 正式 地 将 Diameter 协议 作为 
未 来 通信 网 络 的 首选 AAA 协议 。 目 前 Diameter 协议 族 中 部 分 协议 已 经 当 作 标准 得 以 发 
布 ,部 分 协议 还 只 是 Internet 技术 草案 ,还 有 很 多 问题 有 待 解决 。 


2.3.1 Diameter 协议 概述 


Diameter 协议 包括 基础 协议 (base protocol)? 、 网 络 接 人 服务 (Network Access 
Server. NAS) 协 议 63 .扩展 认证 协议 (extensible authentication protocol, EAP)"*) 移动 
IP(Mobile IP，MIP) 协 议 65 、 密 码 消 息 语 法 (cryptographic message syntax, CMS) B) 
i409 (STET il Ccredit-controDU? Bi, Diameter 协议 支持 移动 IP.NAS 请 求 和 移动 代理 
的 认证 ,授权 和 计 费 工作 ,协议 的 实现 和 RADIUS 类 似 ,也 是 采用 AVP (attribute value 
pair， 属 性 值 对 ) 来 实现 ,但 是 其 中 详细 规定 了 错误 处 理 机 制 ,采用 TCP 协议 ,支持 分 布 式 计 
费 ,克服 了 RADIUS 的 许多 缺点 ,是 最 适合 未 来 移动 通信 系统 的 AAA 协议 。 


2311 Diameter 协议 的 体系 结构 


Diameter 协议 族 包括 基础 协议 和 各 种 应 用 协议 。Diameter 协议 层次 结构 如 图 2. 3. 1 
所 示 。 


移动 应 用 协议 | 网 络 接 入 协议 | EAP 应 用 协议 | 多 媒体 应 用 | 其 他 应 用 
基础 协议 CMS 协议 
TLS 
TCP SCTP 
IP/IPSec 


图 2.3.1 Diameter 协议 层次 结构 


基础 协议 提供 了 作为 一 个 AAA 协议 的 最 低 需 求 ,是 Diameter 网 络 节点 都 必须 实现 的 
功能 ,包括 节点 间 能 力 的 协商 .Diameter 消息 的 接收 及 转发 、 计 费 信息 的 实时 传输 等 。 协 议 
元 素 由 众多 命令 和 AVP 构成 ,可 以 在 客户 机 、 代 理 、 服 务 器 之 间 传 递 认证 、 授 权 和 计 费 信 
息 。 命 令 代码 .AVP 值 和 种 类 都 可 以 按 应 用 需要 和 规则 进行 扩展 。 基 础 协议 可 以 作为 一 个 
计 费 协议 单独 使 用 ,但 一 般 情况 下 需要 与 某 个 应 用 一 起 使 用 。 

应 用 协议 则 充分 利用 基础 协议 提供 的 消息 传送 机 制 , 规 范 相 关节 点 的 功能 以 及 其 特有 
的 消息 内 容 , 来 实现 应 用 业务 的 AAA。 

Diameter 的 网 络 接 入 服务 (NAS) 用 于 实现 网 络 接 入 环境 下 的 AAA 服务 。 由 NAS 处 
理 用 户 的 接 入 请 求 , 将 收 到 的 用 户 认 证 信息 转送 给 Diameter 服务 器 ;服务 器 对 用 户 进行 认 
证 授权 ,将 结果 发 给 NAS;NAS 将 结果 发 回 给 用 户 ,并 根据 结果 进行 相应 处 理 。 

Diameter 密码 消息 语法 (CMS) 协 议 实现 了 协议 数据 的 Peer-to-Peer( 端 到 端 ) 加 密 。 由 
于 Diameter 网 络 中 存在 不 可 信 的 中 继 (Crelay) 和 代理 (proxy) ,而 IPSec 和 TLS(transport 
layer security protocol, 安 全 传输 层 协议 ) 又 只 能 实现 跳 到 跳 的 安全 ,所 以 IETF 定义 了 
Diameter CMS 应 用 协议 来 保证 数据 安全 。 

Diameter 可 扩展 认证 (EAP) 协 议 提供 了 一 个 支持 各 种 认证 方法 的 标准 机 制 。 
Diameter MIP 应 用 协议 允许 用 户 漫游 到 外 部 域 ,并 在 经 过 鉴 权 后 接收 外 部 域 服务 器 和 代理 
提供 的 服务 。 


网 络 安全 控制 机 制 


2312 Diameter 协议 的 工作 原理 


在 Diameter 协议 中 ,包括 多 种 类 型 的 Diameter 节点 。 除 了 Diameter 客户 端 和 
Diameter 服务 器 外 ,还 有 Diameter 中 继 、Diameter (CX, Diameter 重 定向 器 和 Diameter Hh 
议 转换 器 等 。 

为 处 理 用 户 的 接 人 ,Diameter 客户 端 通过 Diameter 基础 协议 和 应 用 协议 ,与 Diameter 
服务 器 进行 一 系列 的 信息 交换 ,而 这 样 一 个 从 发 起 到 中 止 的 一 系列 信息 交互 ,在 Diameter 
协议 里 被 称 为 一 个 用 户 会 话 (user session) 。 一 个 用 户 会 话 的 建立 ,一 般 由 Diameter 客户 端 
发 起 ,中 间 可 以 途径 若干 Diameter 代理 、 重 定向 器 或 协议 转换 器 ,一 直 延 伸 到 Diameter 服 
务 器 。 

一 般 的 AAA 业务 可 以 大 致 分 成 两 类 : 一 类 包括 用 户 的 认证 和 授权 ,可 能 还 包括 计 费 
(如 移动 电话 业务 ); 另 一 类 则 是 仅 包括 对 用 户 的 计 费 (如 目前 的 主 叫 拨号 接 入 业务 )。 为 此 ， 
Diameter 基础 协议 提供 对 应 的 两 类 用 户 会 话 ,为 上 层 的 应 用 服务 。 

当 用 户 被 允许 接 人 时 ,Diameter 客户 端 将 根据 情况 产生 针对 用 户 的 计 费 信息 。 这 些 计 
费 信息 将 被 封装 在 具体 Diameter 应 用 专 有 的 AVP 内 ,由 Diameter 基础 协议 中 定义 的 计 费 
请 求 (accounting request. ACR) 消息 ,传送 给 Diameter 服务 器 。 服 务 器 将 响应 计 费 应 答 
(accounting answer. ACA) il B, ,指示 计 费 成 功 或 拒绝 。 客 户 端 只 有 在 收 到 成 功 的 计 费 响 
应 时 ,才能 清除 已 经 被 发 送 的 计 费 记录 。 当 收 到 计 费 拒绝 指示 时 ,客户 端 将 中 止 用 户 接 和 。 
Diameter 支持 实时 计 费 ,客户 端 通过 在 首次 计 费 请 求 /响应 交互 过 程 中 协商 好 的 计 费 消息 
间 敬 时 间 , 定 时 地 向 服务 器 发 送 已 收集 的 计 费 信息 。 这 种 实时 计 费 确保 了 对 用 户 费 用 的 实 
时 检查 。 

Diameter 客户 端 必须 支持 IPSec, 可 以 支持 TLS; 而 Diameter 服务 器 必须 支持 IPSec 和 
TLS, IPSec 主要 应 用 在 网 络 的 边缘 和 域内 的 流量 ,而 域 间 的 流量 主要 通过 TLS 来 保证 安全 。 


2.3.2 Diameter 协议 格式 
1. Diameter 协议 的 报 文 格式 


一 个 基本 Diameter 的 消息 包 由 一 个 包头 和 多 个 AVP 组 成 ,包头 的 结构 如 图 2. 3.2 所 
示 , 其 说 明 如 下 。 


第 1 字 节 第 2 字 节 第 3 字 节 第 4 字 节 
版 本 号 消息 长 度 
消息 标志 位 命令 代码 
VendorID 
点 到 点 标识 
端 到 端 标识 
AVPs... 


图 2.3.2 Diameter 协议 报 文 格式 


版 本 号 : 必须 为 1, 以 标明 Diameter 的 版 本 。 

消息 长 度 : 指明 这 个 Diameter 消息 包 的 长 度 。 

消息 标志 位 : 这 个 8 位 的 字段 其 中 一 位 标识 这 个 包 是 请 求 还 是 回复 , 另 一 位 表明 是 本 
地 消息 还 是 转发 的 代理 消息 ,还 有 一 位 标识 是 否 是 出 错 消息 ,其余 各 位 保留 。 

命令 代码 : 每 一 个 Diameter 消息 都 必须 在 包头 中 有 一 个 命令 代码 ,用 来 指定 对 消息 所 
作 的 操作 。 

Vendor-ID: 运行 商 的 ID. 

点 到 点 标识 : 一 个 无 符号 的 32 位 字段 ,用 于 匹配 请 求 和 相应 的 回复 。 

端 到 端 标 识 : 一 个 无 符号 的 32 位 字段 ,用 于 发 现 重复 的 消息 ,防止 重 放 攻 击 。 

Diameter 中 还 采用 了 AVP 来 携带 更 多 的 AAA 信息 ,Diameter 的 AVP 用 来 携带 认证 
授权 和 计 费 信息 ,以 及 路 由 、 安 全 信息 等 。 


2. Diameter 协议 的 AVP 格式 

AVP 的 格式 如 图 2. 3. 3 所 示 。AVP 代码 和 Vendor ID( 厂 商标 识 ) 一 起 来 保证 这 个 属 
性 的 唯一 性 ,用 于 和 其 他 属性 相 区 分 ,AVP Flag 用 来 标示 AVP 的 某 些 性 质 , 数 据 部 分 携带 
详细 的 信息 。 


第 1 字 节 第 2 字 节 第 3 字 节 第 4 字 节 
AVP 代码 
AVP 标志 位 AVP KJ 
Vendor-ID (opt) 
数据 … 


图 2.3.3 Diameter 协议 中 AVP 的 格式 


AVP 的 格式 中 头 4 个 字 节 是 AVP 代码 ,下 面 4 个 字 节 由 8 比特 的 AVP 标志 和 24 比 
FER AVP 长 度 (包括 AVP 头 部 长 度 ) 构 成 。AVP 标志 用 于 通知 接收 端 如 何 处 理 这 个 AVP 
以 及 该 AVP 是 否 包含 厂商 标识 。 在 长 度 之 后 是 4 个 字 节 的 厂商 标识 (可 选 ) ,用 于 标识 特 
定 厂商 自 定义 的 AVP。 厂 商标 识 后 的 字 节 是 AVP 的 数据 部 分 。AVP 的 数据 类 型 ,目前 包 
括 字符 串 ,32 比特 整数 .64 比特 整数 .32 比特 浮 点 数 、64 比特 浮 点 数 以 及 AVP 组 等 。 


2.3.3 Diameter 与 RADIUS 的 比较 


目前 ,RADIUS 已 经 是 网 络 环境 中 的 AAA 标准 。 尽 管 有 些 产品 针对 RADIUS 进行 了 
改进 ,性 能 有 所 提高 ,但 是 由 于 RADIUS 存在 着 先天 缺陷 ,限制 了 其 推广 与 应 用 。 而 
Diameter 吸取 了 RADIUS 部 署 和 运作 中 的 各 种 教训 ,从 设计 上 就 克服 了 RADIUS 功能 上 
的 限制 ,并 将 最 终 代 替 RADIUS. AM Diameter 协议 成 为 IETF 草案 以 后 ,IETF 就 组 织 志 
愿 者 开发 Diameter 服务 器 和 客户 端 。 而 且 , 它 的 源 代 码 作为 开放 软件 予以 公布 及 讨论 ,其 
软件 包 命名 为 opendiameter, 用 来 提供 Diameter 协议 的 实现 原型 和 C++ API。 

我 们 从 以 下 几 个 方面 对 Diameter 和 RADIUS 协议 进行 比较 。 


网 络 安全 控制 机 制 


(1) 安全 性 

RADIUS 协议 存在 着 明显 的 安全 弱点 ,这 些 安全 问题 主要 来 自 于 RADIUS 的 设计 和 
实施 ,如 用 户 密 码 保护 技术 的 缺陷 .认证 值 的 使 用 不 当 等 。 由 于 RADIUS 的 安全 是 基于 安 
全 密 钥 的 ,这 样 在 认证 或 计 费 需要 通过 代理 链 的 情况 下 就 无 法 提供 端 到 端的 安全 性 。 

RADIUS 协议 并 不 要 求 支 持 IPSec ,而 Diameter 基础 协议 规定 Diameter 客户 端 必须 支 
持 IPSec, 可 以 支持 TLS, Diameter 服务 器 必须 支持 IPSec 和 TLS, 在 没有 任何 安全 机 制 
(TLS 或 IPSec) 的 情况 下 不 能 使 用 Diameter。 这 样 就 提供 了 统一 的 传输 层面 上 的 安全 ,使 
得 域内 和 域 间 AAA 的 部 署 成 为 可 能 。 

(2) 扩容 

在 RADIUS 协议 中 没有 中 继 器 和 重 定向 器 ,这 样 , 当 NAS 需要 支持 更 多 的 用 户 时 ,就 
需要 增加 新 的 AAA 服务 器 。 而 Diameter 能 够 很 好 地 支持 中 继 、 代 理 和 重 定向 器 ,这 样 就 
可 以 把 用 户 分 组 ,把 系统 管理 的 能 力 分 发 到 每 个 组 ,也 能 对 来 自 不 同 用 户 组 的 请 求 加 以 集 
合 , 并 转发 到 合适 的 目标 ,同时 还 能 很 好 地 实现 负载 均衡 。 

(3) 传输 可 靠 性 

RADIUS 运行 在 UDP 之 上 ,尽管 可 以 在 应 用 层 实现 重 传 ,但 仍 很 难 有 效 地 处 理 代 理 链 
情况 下 的 可 靠 传 输 , 更 何况 这 样 也 会 使 不 同 实现 的 可 靠 性 有 所 不 同 , 增 加 互 操作 的 难度 ,而 
传输 的 不 可 靠 性 会 对 计 费 产生 影响 。 相 反 地 , Diameter 运行 在 可 靠 的 传输 协议 之 上 , 如 
TCP 和 SCTP(stream control transmission protocol, 流 控制 传输 协议 )。 

(4) 漫游 支持 

由 于 RADIUS 协议 中 并 没有 详细 定义 对 代理 的 支持 ,并 且 缺 乏 可 审计 性 及 传输 层面 上 
的 安全 等 ,使 得 基于 RADIUS 的 漫游 不 仅 易于 受到 外 部 的 攻击 ,还 会 受到 其 他 漫游 用 户 欺 
骗 行 为 的 影响 。 因 此 ,RADIUS 并 不 适合 应 用 于 大 规模 漫游 环境 中 。 而 Diameter 协议 中 明 
确定 义 了 域 间 漫游 .消息 的 路 由 并 提供 强大 的 安全 性 ,因此 ,Diameter 能 提供 安全 的 漫游 ， 
且 易 于 升级 。 

(5) 故障 切换 

RADIUS 中 没有 明确 定义 故障 转移 (failover) 和 故障 恢复 (failback) 机 制 , 尤 其 是 在 代 
理 链 情 况 下 的 故障 问题 根本 没有 提 及 ,这 就 会 对 RADIUS 的 实现 和 不 同 产品 间 的 互 操作 性 
产生 很 大 影响 。Diameter 支持 应 用 层 的 确认 机 制 ,定义 了 故障 切换 的 算法 和 状态 机 。 协 议 
中 定义 的 监视 消息 使 应 用 能 够 快速 检测 到 传输 层 或 应 用 层 的 故障 ,从 一 个 发 生 故 障 的 对 等 
端 切换 到 其 他 对 等 端 。 

(6) 扩展 性 

Diameter 非常 易于 扩展 ,这 主要 得 益 于 它 将 基础 协议 和 支持 各 种 业务 的 应 用 协议 分 开 
的 设计 思想 。 例 如 ,目前 的 Diameter 不 支持 批量 计 费 ,如果 需要 的 话 , 只 需 在 基础 协议 上 扩 
展 一 个 应 用 就 可 以 了 。 
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21 世纪 网 络 的 发 展 进入 了 一 个 新 的 阶段 ,特别 是 在 20 世纪 的 最 后 10 年 ,移动 通信 , 尤 
其 是 数字 移动 通信 的 发 展 之 快 和 应 用 之 广大 大 超出 了 人 们 的 预料 和 专家 们 的 预测 。 随 着 


第 2 章 认证 


信息 交流 的 增加 ,无 论 是 工作 还 是 学 习 、 娱 乐 ,人 们 需要 在 实时 地 了 解 和 掌控 信息 的 同时 不 
影响 正常 的 工作 和 生活 。 这 就 要 求 Internet 适应 新 的 需求 ,发 展 新 的 技术 。 而 笔记 本 电脑 、 
数字 手机 、PDA 等 通信 技术 的 发 展 ,给 Internet 和 移动 通信 的 结合 提供 了 硬件 基础 。 

在 通过 有 线 网 络 访问 接 入 Internet 的 时 代 , 多 台 计算 机 之 间 交 换 信息 是 用 一 系列 复杂 
的 规则 , 即 网 络 协议 来 实现 的 。 但 在 制定 这 些 协议 时 ,几乎 所 有 计算 机 都 是 不 需要 移动 的 。 
所 以 ,大 多 数目 前 存在 的 通信 协议 都 不 足以 应 付 快速 移动 中 的 计算 机 通信 。 

移动 IP 是 一 种 在 全 球 Internet. 上 提供 移动 功能 的 方案 , 它 具 有 可 扩展 性 、 可 靠 性 和 安 
全 性 ,并 使 节点 在 切换 链 路 时 仍然 可 以 保持 正在 进行 的 通信 。 值 得 注意 的 是 ,移动 TP 提供 
了 一 种 IP 路 由 机 制 , 使 移动 节点 可 以 以 一 个 永久 的 IP 地 址 连接 到 任何 链 路 上 。 但 另 一 方 
面 ,移动 IP 通信 和 既 经 过 了 无 线 链 路 ,又 通过 了 有 线 链 路 ,增加 了 受 外 来 攻击 的 概率 。 因 此 人 
们 在 享受 丰富 的 信息 资源 和 便捷 服务 的 同时 ,也 面临 着 更 大 的 网 络 信息 安全 方面 的 威胁 。 

移动 IP 业务 的 使 用 需要 Internet 提供 支持 移动 IP 的 AAA 服务 , 即 移动 用 户 的 认证 、 
授权 和 计 费 服务 。 当 移动 节点 (mobile node, MN) 移 动 到 外 地 网 络 时 ,MN 需要 对 外 地 代理 或 
接 入 设备 进行 认证 ,以 确定 对 方 的 有 效 性 ,外 地 代理 也 需要 对 MN 进行 身份 认证 ,以 防止 非法 
用 户 的 攻击 行为 。 授 权 和 计 费 主要 涉及 MN 在 外 地 网 络 上 的 资源 的 使 用 权 和 使 用 情况 。 


2.4.1 基本 模型 


AAA 本 身 就 支持 跨 域 通信 的 管理 模式 ,其 基本 模型 如 图 2. 4. 1 Brzs 0? , PE h, 
用 户 向 服务 员 提 出 服务 请 求 , 服 务 员 则 要 求 用 户 提供 “安全 证 书 ”, 以 验证 用 户 是 否 可 以 使 用 
资源 。 同 时 服务 员 将 此 信息 交 给 AAA 服务 器 ,AAA 服务 器 处 理 从 服务 员 发 来 的 AAA 请 
求 。 同 时 ,本 地 域 的 信息 可 能 不 足以 对 此 用 户 进行 AAA 计算 ,但 应 该 配置 了 足够 的 信息 以 
向 用 户 的 家 乡 (或 归属 ) AAA 服务 器 (AAAH) 建 立 安全 关联 ,向 其 提交 用 户 的 安全 证 书 ; 
AAAH 在 对 用 户 进行 验证 后 返回 用 户 授权 信息 。 本 地 AAA 服务 器 (AAAL) 将 根据 此 授 
权 信息 通知 服务 员 向 用 户 提供 相应 服务 。 


本 地 区 域 家 乡 区 域 


本 地 AAA 家 乡 AAA 
mis 服务 器 


用 户 4 服务 员 


图 2.4.1 AAA 服务 的 基本 模型 


2.4.2 AAA 协议 漫游 的 需求 


CD 支持 可 靠 的 AAA 传输 机 制 。 主 要 包括 : 路 由 各 跳 之 间 必 须 有 一 种 重 传 和 失败 恢 
复 机 制 :传输 机 制 必须 可 以 向 AAA 应 用 显示 信息 已 传 到 下 一 个 对 点 的 AAA 应 用 中 或 者 显 
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示 超 时 ; 重 传 由 可 靠 的 AAA 传输 机 制 控制 ,而 不 是 由 低层 协议 (如 TCP) 控 制 ;确认 工作 应 
该 可 以 由 AAA 消息 来 承担 ;AAA 响应 应 该 及 时 ,以 免 超时 和 重 传 。 

(2) 在 AAA 消息 中 传输 数字 证 书 , 目 的 是 最 小 化 与 AAA 交互 的 往返 次 数 。 

(3) 在 各 跳 (AAA 节点 ) 之 间 提 供 消息 完整 性 和 身份 验证 。 

(4) 对 于 所 有 的 授权 和 记录 数据 支持 重 放 和 抗 抵 赖 的 功能 。AAA 协议 必须 要 求 记录 
数据 与 前 一 个 认证 消息 匹配 。 

(5) 通过 双向 配置 和 broker( 中 继 代 理 )AAA 服务 器 ,实现 提供 服务 处 和 本 地 网 络 之 间 
的 交互 记录 和 调节 工作 。 


2.4.3 移动 IP 的 AAA 
使 用 移动 IP 的 客户 除了 需要 AAA 服务 器 提供 基本 的 功能 要 求 和 IP 连接 的 要 求 之 


外 ,还 需要 AAA 服务 器 提供 特殊 的 服务 。 为 了 理解 移动 IP 模型 的 应 用 ,我 们 将 移动 节点 
作为 用 户 ,而 将 外 来 代理 充当 访问 服务 器 的 角色 。 移 动 IP 的 AAA 服务 模型 如 图 2. 4. 2 


所 示 。 
本 地 区 域 家 乡 区 域 
本 地 AAA| | o |_| 家 乡 AAA 
服务 器 服务 器 
移动 节点 | | | 外 来 代理 | | | 家 乡 代理 
MN FA HA 


图 2.4.2 Mobile IP 的 AAA 服务 模型 


移动 节点 MN 向 外 来 代理 FA 提出 带 有 安全 证 书 的 Mobile IP 注册 请 求 ,FA 将 此 请 求 
交 给 本 地 服务 器 AAAL。AAAL 通过 安全 关联 将 请 求 转发 至 用 户 的 归属 AAA 服务 器 
AAAH., AAAH 对 用 户 进行 认证 并 授权 完成 之 后 向 用 户 家 乡 代理 (home agent, HA) 3X 
包含 用 户 授权 信息 的 注册 请 求 , HA 处理 此 请 求 并 产生 响应 。 然 后 AAAH AAAL fil FA 
依次 响应 ,MN 完成 Mobile IP 注册 和 AAA 服务 的 验证 授权 。 

目前 实现 了 AAA 对 Mobile IP 诸多 支持 的 协议 为 Diameter 协议 。Diameter 移动 IP 
应 用 使 Diameter 服务 器 能 够 对 移动 IP 业务 进行 认证 、 授 权 , 并 收集 计 费 信息 ,使 网 络 运营 
商 可 以 有 效 地 控制 对 移动 节点 的 接 入 。 由 于 Diameter 基础 协议 提供 了 域 间 交互 的 能 力 , 所 
以 漫游 的 移动 节点 也 能 从 外 地 业务 提供 商 处 获得 接 入 业务 。 

随 着 无 线 网 络 协议 的 日 益 成 熟 ,为 移动 用 户 提供 流 媒体 服务 成 为 可 能 。 我 们 有 必要 对 
流 媒体 系统 中 引入 Mobile IP 后 的 认证 结构 进行 一 些 研究 和 探讨 。 流 媒体 系统 中 Mobile 
IP 的 引入 将 对 流 媒 体 数 据 下 发 、 编 码 以 及 认证 方式 都 产生 较 大 的 影响 。 

引入 Mobile IP 的 流 媒体 平台 结构 如 图 2. 4. 3 所 示 。 该 系统 支持 客户 端 移动 或 固定 节 
点 ,对 于 固定 节点 来 说 ,其 认证 计 费 流程 未 发 生 改变 ,在 申请 服务 时 提交 用 户 认证 请 求 , 服 务 
过 程 中 与 流 媒体 服务 器 交互 计 费 信息 。 对 于 移动 节点 来 说 ,认证 包含 两 个 含义 : 通信 节点 
的 认证 和 使 用 此 节点 的 用 户 认 证 。 在 其 服务 启动 时 首先 需要 通过 代理 来 确定 节点 所 处 的 位 
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置 , 然 后 向 流 媒体 系统 提交 服务 请 求 并 对 用 户 信息 进行 认证 ;在 节点 移动 过 程 中 ,移动 节点 
需要 向 家 乡 代 理 注 册 , 为 阻止 拒绝 服务 攻击 ,注册 消息 要 求 进行 认证 ,这 是 对 通信 节点 的 
认证 。 


内 容 
los d 


本 地 网 络 


图 2.4.3 流 媒体 系统 中 Mobile IP 架构 图 


2.4.4 3G-WLAN 互联 中 的 AAA 


目前 提供 宽带 无 线 数据 通信 的 主要 方式 为 WLAN 和 3G。3G 作为 一 个 完整 的 移动 通 
信 系统 可 以 为 用 户 提供 无 所 不 在 的 连接 性 ,并 且 有 成 熟 的 漫游 协议 。 但 是 3G 的 投资 规模 
相当 庞大 ,数据 峰值 传输 速率 也 只 有 2 Mbps 左右 。 另 一 方面 , WLAN 能 够 提供 远 超过 3G 
的 带宽 ,但 只 能 适用 于 公司 .旅馆 .机场 等 所 谓 的 “热点 "地区, 而且 不 同 WLAN 业务 提供 商 
之 间 的 网 络 没有 漫游 协议 ,同时 缺乏 充分 的 安全 措施 和 完整 的 结构 。3G 系统 的 优势 在 于 计 
费 管理 .漫游 与 安全 性 ; WLAN 系统 的 优势 在 于 高 带宽 和 低 投 资 成 本 。 通 过 3G 与 WLAN 
的 互联 可 以 实现 优势 互补 。 因 此 ,第 三 代 移 动 通信 合作 计划 (3GPP) 开 始 研究 3G 与 WLAN 
的 互联 ,并 确定 互联 的 基本 原则 : 3G 与 WLAN 互联 必须 尽量 减少 对 WLAN 以 及 3G 标准 
的 影响 , 即 保持 WLAN 标准 不 变 , 同 时 使 得 对 3GPP 现存 规范 的 修改 最 小 化 。 两 者 互联 的 
一 个 挑战 就 是 如 何 协 调和 加 强 网 络 的 安全 体系 0 。 

按照 互联 的 级 别 ,ETSI BRAN 在 ETSI TR 101 957 中 制定 了 “ 紧 互 联 ”" 和 “ 松 互联 ”两 
种 完全 不 同 的 方案 (+ 站。3GPP 目前 正在 制定 的 标准 化 工作 是 WLAN 与 3G 互联 的 可 行 
性 和 体系 结构 5' 约 。 在 当前 的 标准 化 版 本 R6 中 ,3GPP 与 WLAN 的 互联 采用 了 “ 松 互联 ” 
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的 方案 。 

3GPP-WLAN 互联 结构 在 3GPP TS 23. 234[ 引 中 定义 ,该 文档 中 给 出 了 非 漫游 情况 和 
漫游 情况 下 的 参考 模型 。 在 非 漫游 情况 下 , WLAN 接 入 网 关 (WLAN access gateway. 
WAG) 和 分 组 数据 网 关 (packet data gateway, PDG) 位 于 归属 公众 陆地 移动 通信 网 (home 
public land mobile network, HPLMN) 中 ,如 图 2.4.4 所 示 。 当 用 户 设 备 接 入 WLAN 网 络 
时 ,首先 需要 进行 身份 认证 。3GPP AAA 服务 器 从 归属 用 户 服务 器 (home subscriber 
server, HSS) /归属 位 置 登记 器 (home location register，HLR) 获 得 认证 矢量 ,通过 WLAN 
接 入 网 执行 认证 和 和 密 钥 协商 (authentication and key agreement, AKA) 过 程 。 一 旦 认证 通 
过 ,用 户 获 得 接 入 权限 , WLAN 接 入 网 就 可 以 保证 用 户 设备 接 入 IP 网 。 如 果 IP 网 络 为 
Internet/Intranet, 用 户 数 据 直 接 从 WLAN 接 入 网 路 由 到 Internet/Intranet。 当 用 户 使 用 
3GPP 网 络 提供 的 业务 时 ,数据 从 WLAN 接 入 网 通过 WAG 和 PDG 路 由 到 3GPP 网 络 的 
实体 ,从 而 获得 所 需 的 业务 。 接 和 人 网 络 后 由 计 费 系统 进行 计 费 。 


Internet / Intranet 


WLAN WLAN 


| 3GPP 归属 网 络 | 
| | 
| | 
| | 
| 
| | 
UE 接 入 网 站 AAA | 
| | 
| | 
| ! 
l | 
| | 
| | 
i | 


SLF| [Hss| fur 


3GPP |}-——— CGw/CCF 
服务 器 OCS 
| wag PDG 


图 2.4.4 非 漫游 情况 下 的 互联 参考 模型 


在 漫游 情况 下 , WAG 应 该 位 于 受 访 公众 陆地 移动 通信 网 (visited public land mobile 
network,VPLMN) 中 ,如 图 2.4.5 所 示 。PDG 所 在 的 位 置 与 用 户 使 用 由 谁 提供 的 分 组 域 业 
务 有 关 , 如 果 用 户 使 用 由 HPLMN 提供 的 3GPP 分 组 域 业务 , 则 PDG 位 于 HPLMN 中 ,如 
图 2.4.5(a) 所 示 ; 如 果 用 户 使 用 由 VPLMN 提供 的 3GPP 分 组 域 业 务 , 则 PDG 位 于 
VPLMN 中 ,如 图 2.4.5(b) 所 示 。 与 漫游 情况 不 同 ,用 户 需 要 选择 可 用 和 合适 的 受 访 网 络 ， 
通过 受 访 网 络 中 的 3GPP AAA 代理 与 归属 网 络 中 的 3GPP AAA 服务 器 进行 身份 认证 。 其 
他 过 程 与 非 漫 游 情况 相同 。 

在 互联 网 络 中 ,首选 的 是 Diameter 协议 。 在 Diameter 协议 中 ,所 有 的 AAA 数据 都 以 
BEC AVP) MARR), AVP 可 以 任意 加 入 Diameter 消息 中 ,以 实现 AAA .性 能 
协商 和 消息 路 由 ,通过 增加 新 命令 和 AVP 可 以 实现 功能 的 扩展 。 

漫游 情况 下 ,使 用 Diameter 协议 的 AAA 协议 的 体系 结构 如 图 2. 4. 6 所 示 59 , 非 漫游 
情况 下 的 体系 结构 缺少 WLAN AAA 代理 和 3GPP AAA 代理 两 部 分 。 需 要 注意 的 是 ,用 
来 认证 UE 和 3G 归属 网 络 的 方法 由 UE 和 UE 的 归属 网 络 的 3G AAA 服务 器 来 执行 ， 
WLAN 只 需 支 持 EAP 和 IEEE 802. 1x 定义 的 EAP-over-LAN(EAPOL)。 


— 
NM 
| 


(b) PDG 位 于 3GPP 拜访 者 网 


WLAN WLAN F i 
UE HAB | 3GPP Silas su] | 
| | 
| 3GPP | 
AAA [— i88] | 
i PDG | 服务 器 人 一 | HLR| | 
i | 
| 
| ocs | jcGwcch | 
| POR! SOs 4 


图 2.4.5 漫游 情况 下 的 互联 参考 模型 
EAP-SIM / EAP-SIM / 
EAP-AKA pev vy CYSCPVCYV ey 一 | EAP- AKA 
EAP EAP EAP 
Diameter Diameter Diameter Diameter 
EAPOL EAPOL | 客户 端 代理 代理 服务 器 
| UDP/IP UDP/IP UDP/IP UDP/IP 
802.11 802.11 | L2/L1 L2/L1 L2/L1 L2/L1 
WLAN UE BAR WLAN 3G AAA 3G AAA 
AAA 代理 代理 服务 器 


图 2.4.6 AAA 协议 的 体系 结构 


图 2.4.7 表 示 了 3G 5j WLAN 之 间 一 次 成 功 的 AKA 执行 过 程 。3GPP 选择 EAP- 
AKA 协议 来 交换 AKA 认证 信息 。EAP 协议 是 一 个 通用 协议 ,特点 是 在 链 路 控制 阶段 没 
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有 选 定 一 种 认证 机 制 ,而 把 这 一 步 推迟 到 认证 阶段 。EAP 协议 无 需 IP, 有 自己 的 流 控制 机 
制 ,能 够 删除 复制 的 报 文 和 重 传 丢 失 的 报 文 , 可 在 不 同 链 路 层 上 使 用 。 因 为 UMTS AKA 
支持 相互 认证 和 强大 的 密 钥 推导 ,因此 EAP-AKA 协议 可 以 非常 可 靠 地 将 UMTS 认证 机 
制 封装 到 EAP 中 。 


3GPP AAA HSS 
USIM/MS WLAN 服务 器 (HLR/AuC) 
| EAPOL: EAP | 
| 请 求 /身份 | 
| | 
| üs | 
| EAP 响应 AAA: EAP 响应 | 
| 身份 (NAD ware 
| A.D ETTUT 
| ! ”描述 数据 安全 证 书 
| AAA: EAP ili | 
a ie 7 AKA - challenge 
= z 
cua ene (RAND, AUTN) 


(REND; AUI 受 保护 的 临时 身份 
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图 2.4.7 3G WLAN 之 间 一 次 成 功 的 AKA 过 程 


在 3G-WLAN 互联 中 的 AKA 机 制 类 似 于 UMTS (universal mobile telecommunications 
system, 通 用 移动 通信 系统 ) 的 AKA 机 制 , 而 UMTS AKA 机 制 从 GSM 的 认证 机 制 发 展 而 
来 ,其 认证 都 是 基于 一 个 对 称 的 密 钥 ,该 密 钥 保存 在 用 户 的 USIM 卡 和 相应 归属 网 络 的 
HSS/HLR 中 ,采用 基于 “挑战 -响应 ”的 协议 。AKA GSM 中 的 许多 已 知 的 弱点 在 UMTS 
中 得 到 了 修正 ,但 还 是 有 许多 缺点 影响 到 EAP-AKA Lit]? 。 

我 们 还 可 以 使 用 许多 如 EAP-TLS 和 EAP-TTLS(extensible authentication protocol- 
tunneled transport layer security,EAP- 隧 道 传 输 层 安全 协议 ) 等 标准 认证 协议 来 增加 安全 
TE, EAP-TLS 和 EAP-TTLS 协议 是 经 过 修改 了 的 安全 套 接 层 (secure socket layer. SSL) 
协议 。 EAP-TLS 协议 基于 SSL 协议 的 3. 0 版 本 , 使 用 EAP 代替 TCP 来 执行 SSL 的 握手 
过 程 。 该 协议 要 求 认证 者 和 认证 服务 器 都 有 一 个 证 书 。 在 互相 认证 的 过 程 中 ,双方 都 需要 
使 用 该 证 书 来 认证 身份 和 私 钥 。 与 EAP-AKA 不 同 , EAP-TLS 采用 基于 公 钥 密码 机 制 
PKO" ,因此 , 它 不 需要 中 心服 务 器 来 与 移动 台 共 享 一 个 密 钥 ,而 且 它 还 是 可 以 升级 的 。 
EAP-TLS 提供 的 是 一 种 在 客户 端 和 认证 服务 器 之 间 互 相 认 证 的 机 制 。 

图 2. 4. 8 所 示 的 是 基于 EAP-TLS 的 AKA 机 制 。 作 为 EAP 请 求 的 一 部 分 ,AAA 服务 
器 一 方面 把 自己 的 证 书 提供 给 客户 端 ,同时 要 求 客户 端的 证 书 。 客 户 端 首先 认证 服务 器 的 
证 书 , 然 后 在 EAP 响应 消息 中 包含 自己 的 证 书 , 同 时 开始 协商 加 密 方案 (密码 和 加 密 算法 )。 
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在 通过 客户 端 证 书 的 认证 后 ,服务 器 给 出 会 话 的 加 密 方案 。 


客户 端 


PPP LCP 
Request- EAP auth 


PPP LCP 
ACK- EAP auth PPP EAP - Request 
Identity 
PPP EAP-Response RADIUS 或 diameter — 访问 请 求 
Identity 访问 请 求 
= [EAP-Type-EAP-TLS, 
T! = bym] 
Æ EAP -TLS Start bit set, no data] 
[EAP-Type=EAP-TLS EA 
—- 响应 LL———- 
(TLS Client hello) ] [EAP-Type -EAP-TLS 
EAP 请 求 F— ———| (TLS server. hello, 
[EAP-Type-EAP-TLS TLS Certificate, 

(TLS certificate, TLS server key. exchange, 
TLS TLS certificate. request, 
Client. key — exchange, TLS server _ hello. done)] 
TLS. certificate. verify, 

TLS iir el EAP 响应 | — -| [EAP-Type-EAP-TLS 

S (TLS change. cipher. spec, 

change. cipher. spec, H 

TLS finished)] TLS finished, new 
encrypted pseudonym)] 

EAP 请 求 -RADIUS 访问 成 功 
[EAP -Type = EAP-TLS]} > EAP 响应 一 一 一 ~ 
—— EAP 成 功 


图 2.4.8 XT EAP-TLS 的 AKA 机 制 


EAP-TTLS 协议 是 EAP-TLS 的 修订 版 本 5 。 该 协议 通过 使 用 安全 连接 来 扩展 认证 
的 协商 过 程 , 该 安全 连接 在 客户 端 和 服务 器 之 间 使 用 TLS 握手 来 交换 额外 的 信息 。 该 安全 
连接 允许 服务 器 使 用 现 有 的 广泛 应 用 的 认证 机 制 来 认证 客户 端 。 客 户 端的 认证 协议 可 以 
是 EAP 或 者 其 他 认证 协议 ,如 “挑战 -握手 认证 协议 (CHAP)”。EAP-TTLS 能 够 快速 地 配 
置 一 个 现 有 的 `, 用 户 和 服务 器 之 间 已 经 共享 安全 密 钥 的 体系 结构 ,允许 使 用 遗留 的 基于 密码 
的 认证 协议 ,同时 能 够 保护 遗留 协议 的 安全 免 受 窃听 “中 间 人 ”和 其 他 密码 攻击 。 

图 2.4.9 显示 了 一 个 典型 的 EAP-TTLS 认证 协议 。 其 中 ,服务 器 的 认证 使 用 了 TLS 
协议 ,客户 端的 认证 使 用 了 基于 密码 的 认证 协议 CHAP。 客 户 端 把 User-Name、CHAP- 
Challenge 和 CHAP-Password 属性 对 组 (AVPs) 通 过 隧道 传输 到 服务 器 。 在 接收 到 客户 端 
的 属性 对 组 后 ,服务 器 必须 验证 CHAP-Challenge 属性 和 CHAP-Password 属性 对 中 的 
CHAP 标识 符 是 否 等 于 挑战 原来 产生 的 值 。 如 果 其 中 任意 一 项 不 相等 ,那么 服务 器 就 拒绝 
客户 端 。 否则 ,服务 器 在 Access-Request 请 求 中 把 属性 对 组 提交 到 AAA 服务 器 。 
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MS AP AS AAA 服务 器 


EAP 请 求 ，ID 
fg 


EAP 响应 , ID RADIUS 请 求 , ID 
- - 


» 建立 EAP-TLS 
客户 端 Hello 到 
服务 器 认证 服务 器 端 Hello 证 书 ，Hello 成 功 
产生 TLS 通 道 
客户 端 密 钥 交换 ， 改 变 描述 ， 完 成 加 密 
包含 CHAP 消息 


一 | MP. CHAP 挑 站 ，CHAP 响应 RADIUS 认证 请 求 
成 功 ， 数 据 块 组 接受 RADIUS 访问 


客户 端 认证 [^ 
EAP 成 功 EAP 成 功 ， 密 钥 
上 一 


o- 


FA 2.4.9 使 用 CHAP 的 TTLS 协 议 


25 多 级 安全 域 的 认证 模型 


2.5.1 多 级 安全 上 大 的 格 模型 


在 大 型 复杂 的 网 络 系统 中 ,存在 着 一 系列 相互 信任 或 不 相互 信任 的 安全 自治 网 络 域 。 
特别 是 Internet 的 异 构 性 和 复杂 性 更 体现 了 这 一 点 。 因 此 ,有 必要 对 安全 域 的 关系 模型 进 
行 分 析 。 

f£ ISO/IEC CD 10181 一 1 中 ,安全 域 被 定义 为 : 

A set of elements, a security policy, a security authority and a set of security relevant 
activities in which the set of elements are subject to the security policy, administered by 
the security authority. for the specified activities. 

安全 域 是 由 一 组 在 同一 个 管理 器 管理 下 的 安全 主体 和 客体 组 成 ,在 安全 域 中 的 所 有 
对 象 按 同 种 或 相近 的 安全 规则 进行 工作 。 由 于 各 安全 域 之 间 安 全 策略 的 差异 ,使 得 它们 
之 间 的 互 操作 的 难度 很 大 。 因 此 ,对 安全 域 的 安全 策略 进行 形式 化 的 描述 非常 重要 。 另 
外 ,本 安全 域 中 的 各 个 实体 如 何在 本 域 的 安全 管理 器 下 进行 安全 互 操作 ,以 及 在 不 同安 
全 域 之 间 的 实体 如 何在 安全 域 之 间 进 行 安全 的 互 操作 也 是 一 个 需要 考虑 的 问题 。 在 网 
络 多 级 安全 策略 模型 中 包含 安全 主体 .安全 客体 .主客 体 之 间 人 允许 的 操作 以 及 安全 信息 
的 安全 级 别 等 。 


1. 安全 域 的 格 模型 

安全 域 由 安全 策略 和 安全 实体 元 素 组 成 。 安 全 策略 是 为 保证 提供 一 定 级 别 的 安全 性 所 
必须 遵循 的 规则 ,实体 元 素 的 一 切 活动 必须 限制 在 该 域 的 安全 策略 范围 之 内 。 

设 巨 包括 系统 的 所 有 实体 元 素 , 是 系统 主体 和 客体 的 有 限 集 ;P 是 系统 的 安全 策略 集 ( 有 
限 集 ), 则 安全 域 可 用 二 元 组 表示 为 D— (Ep. Pop)。 其 中 Ep € power(E) 和 P5 € power(P) 分 
别 表示 安全 域 D 的 安全 实体 集 和 安全 策略 集 。 全 体 安全 域 所 构成 的 集合 SG 定义 为 

SG = (D | D = (Ep, Pp), Ep € power(E), Pp € power(P)} 
V D=(Ep,Pp),D’=(Ep ,Pr)ESG, 则 元 素 D Fl D'ffj d X AR "n np gg X 
Dx D'e(E, € Ey) A (Pp 2 Py) 

FRX (SG, <) 2 fil FF E EKE V D.D'.D'€SG.fi: 

OD ARYE:D<D’ 

(2) fEXbTE: DX D' ,D!/<D’>D<D" 

(3) REESE: DD’ ,D/<D>D=D’ 

考虑 代数 系统 SG, — (SG.C0.. C. CO P) (0, 00. HPS, PACO, D) Ar EE 
代数 系统 的 零 元 和 单位 元 ; V D— (Ep. Pp), D= CEy | Py) € SG. Ul] iz $9. CO. C 的 定义 
如 下 : 

(OD DGD' —(Ep, Pp) GCEy , Py )=(Ep UEp ,Po 站 Pr) 

(2) DG)D' — CEp, Pp) GCEy , Pv )=(EpN Ep ,PoUPr) 

(3) DC — (E, , Po) — CES, P$) 

不 难 验证 代数 系统 (SG ,四 , 甸 ,C,( 如 ,P),(O,@)) 满 足 布尔 代数 的 公理 , 且 是 布尔 格 : 

V D.D' € SG,Sup(D,D’) = DG) D' € SG,Inf(D,D’) = D@ D’ € SG 

因此 ,任何 一 个 多 安全 域 系 统 应 该 是 SG 的 子 集 或 子 代数 。 格 模型 抽象 地 表示 了 系统 
的 结构 ; 偏 序 关系 确定 了 域 间 的 从 属 关系 ;运算 涉及 域 间 的 联结 关系 。 

2. 安全 域 的 表示 

考虑 VeiEE, p € P.& Pj-P—( pj}. Dp =C ei}, P), Dy = (Ø, PO ,根据 格 的 原 
子 定义 有 : Diy FD, FE SG, 的 原子 。 因 此 ,由 格 的 布尔 表示 定理 得 到 : 

定理 2.5.1 VDE€SG.DZz (O.P) ,D—XZXZ,;(OD,GD,).Krh D,<D fl D, SD, F 
且 除 顺序 外 ,安全 域 D 的 表示 式 是 唯一 的 。 


3. 多 级 安全 域 模型 

定义 2.5.1 安全 级 可 定义 为 元 组 :SC =<(SC.0,.@.L.H). HP SC= {sa| i=1, 
2,…,n) 是 安全 级 集 ,L= 二 sc 是 最 低 安全 级 ; 甩 三 sc, 是 最 高 安全 级 ;运算 田 ,@@ 和 偏 序 关系 
“二 ”可 定义 为 

sc; D sc; = SCmxcinj3 Sc Q) sc; = SCmn ps SG < sci <j 

SC EREA IF ASK" EFRR. 

EM 2.5.2 多 级 安全 域 可 定义 为 元 组 : MS, =(MS,O.@.((D,.P).L).(0, Ø), 
H). Hip MS 是 SG 和 SC 的 直 积 : MS=SG X SC={(D, sci) |DESG, sc; € SC}. 
V (D,sci),(D',scj)EMS, 运 算 外 ,和 偏 序 关系 “三 ”的 定义 如 下 : 
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OD (D,sc;)@(D" ,sc)= (DOD’ » sas) = (Ep U Ey | Pofl Py) scm cip? 

(2) (D sD OD » sc; ) =(D@D’ »sc;®se;) = (CCEp N Ey ,Po U Po ) + Semin ci? 

(3) (D,sc)<(D’,sc }(DXD") A(sc 委 sc) 

MS 显然 是 一 个 格 ,并 且 “ 三 ”是 一 个 偏 序 关系 。 因 此 ,任何 一 个 多 级 安全 域 应 该 是 
MS 的 子 集 。 该 子 集 的 元 素 (D, sc) 是 一 个 二 维 向 量 , 两 个 分 量 分 别 表示 安全 域 和 安全 级 。 
尽管 该 子 集 不 一 定 是 格 , 不 过 由 最 小 上 界 运 算 符 由 和 最 大 下 界 运 算 符 四 可 以 构造 出 一 个 包 
含 该 多 级 安全 域 的 最 小 格 。 


2.5.2 多 级 安全 域 之 间 的 关系 


1. 子 域 关 系 和 对 等 域 关系 

安全 域 可 能 包含 安全 子 域 , 较 大 的 安全 域 将 其 安全 策略 遗传 给 所 属 的 安全 子 域 ,子安 全 
域 必须 能 够 利用 其 父 安全 域 的 安全 策略 。 另 外 ,两 个 通信 实体 要 进行 通信 ,也 必须 了 解 其 所 
在 安全 域 的 对 等 关系 。 因 此 ,根据 安全 域 之 间 的 地 位 和 安全 策略 关系 可 以 简单 地 将 安全 域 
之 间 的 关系 分 成 子 域 关系 和 对 等 域 关系 。 

TRR: 这 是 指 在 两 个 安全 域 中 ,其 中 一 个 安全 域 是 另外 一 个 安全 域 的 子 域 。 它 们 
体现 了 多 级 的 安全 策略 ,包括 两 种 情况 : 子 域 的 安全 策略 完全 共享 给 其 父 域 ; 子 域 的 安全 策 
略 仅 部 分 共享 给 其 父 域 , 子 域 还 保留 有 自己 独 有 的 安全 策略 。 

对 等 域 关系 : 若 两 个 安全 域 之 间 不 是 子 域 关 系 , 则 它们 之 间 就 是 对 等 域 关 系 ,包括 两 种 
情况 , 即 自治 的 对 等 域 (每 个 域 有 自己 的 安全 策略 ,没有 相同 的 控制 策略 ) 和 非 自治 的 对 等 域 
(每 个 域 有 自己 独 有 的 安全 策略 ,并 且 还 有 一 个 公共 的 安全 控制 策略 ) 。 


2. 相互 信任 域 关系 和 非 相 互信 任 域 关系 

从 安全 域 之 间 的 信任 关系 来 看 ,可 以 分 成 两 种 : 相互 信任 域 和 不 相互 信任 域 。 相 互信 
任 域 之 间 的 通信 可 以 通过 域 之 间 的 服务 设施 来 完成 ,而 不 相互 信任 域 之 间 的 通信 只 能 通过 
相互 信任 的 第 三 方 进行 公正 协商 来 完成 。 


2.5.3 多 级 安全 域 认 证 体系 结构 


认证 和 授权 是 分 布 式 系统 安全 的 基础 。 在 Kerberos 和 Kryptoknight 等 安全 认证 系统 
中 ,它们 重点 解决 的 是 如 何 实现 客户 端 和 服务 器 之 间 通 过 一 个 可 信 的 第 三 方 认 证 服务 器 
AS 来 完成 认证 ,它们 只 局 限于 一 个 特定 的 安全 域 环境 ,并 不 能 满足 多 级 安全 域 的 认证 需 
求 。 下面 从 安全 域 之 间 的 信任 关系 出 发 对 多 安全 域 的 认证 体系 结构 进行 讨论 ,如 图 2. 5. 1 
所 示 。 

CD 子安 全 域内 的 认证 : 图 2. 5.1 中 Cl 和 C2 之 间 的 认证 或 C3 和 C4 之 间 进 行 的 认 
证 。 对 此 类 子安 全 域内 的 认证 ,可 以 通过 它们 共同 信任 的 本 域 认 证 代理 服务 器 来 进行 密 钥 
的 分 发 和 管理 ,认证 可 以 采用 Needham-Schroeder 认证 协议 。 

(2) 相互 信任 子安 全 域 之 间 的 认证 : 由 于 两 个 安全 域 之 间 是 相互 信任 的 ,一 般 而 言 , 信 
任 是 分 级 的 ,我 们 建立 域内 认证 模型 的 一 个 前 提 是 Cl 和 C2 信任 S1;C3 和 C4 信任 S2。 如 
果 Cl 要 和 另 一 个 域 S2 的 对 象 C3 进行 安全 通信 . 则 Cl 和 C3 之 间 的 会 话 密 钥 由 Sl1 和 S2 


共同 协商 产生 。 
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图 2.5.1 多 级 安全 域 的 认证 体系 结构 


(3) 不 相互 信任 子安 全 域 之 间 的 认证 : 如 果 Sl 和 S2 不 相互 信任 , 则 它们 之 间 必 须 通 
过 它们 共同 信任 的 第 三 方 域 间 认 证 协调 代理 服务 器 来 认证 , 即 SI 和 S2 的 上 级 父 安全 域 
S3。 这 时 CI 和 C3 之 间 的 会 话 密 钥 是 由 S1,S2 和 S3 共同 协商 来 产生 的 。 


2.5.4 多 级 安全 域 的 认证 协议 


1. 信任 安全 域 的 认证 协议 
若 两 个 安全 域 认 证 是 相互 信任 的 , 则 R 和 S 可 共同 完成 两 个 信任 域 中 的 对 象 之 间 的 安 


全 认证 ,如 图 2. 5. 2 所 示 。 
Cl: 
C2: 
C3: 
C4; 
C5: 
C6: 
2. 非 信任 安全 域 的 认证 协议 


A-R 


R>A: 
R>S: 
SB; 
B>A: 


A>B 


: A,B,N, 

UN, Kad, 

(A BN, Ka )x, 
(A.B, N, Ka), 
{Ns—1, Ni), 


: ND, 


图 2.5.2 相互 信任 域 的 安全 认证 协议 


GRAS 不 相互 信任 , 则 必须 通过 R 和 S 共同 信任 的 第 三 方 工 , 它 可 以 是 尺 和 3S 共同 
信任 的 上 级 父 域 代理 认证 服务 器 , 它 和 尺 ,S 共同 完成 不 信任 域 中 对 象 之 间 的 安全 认证 。 如 
图 2.5.3 所 示 。 


Cl: 
C2: 
C3: 
C4: 
C5: 
C6; 
C7: 
C8; 
C9; 


A>R 


R>T: 
TOR: 
R>S: 
SR: 
R>S: 
RA; { 

: (4,B,N Kas he, 
E ( 


SB 
B>A 


:A,B,N, 

{Ns,A,B,R,N.}x, 
{A,B,R,K, NaN, URS RH Nx, x, 
{K, ,RsN,}r, 

IN = LN IR 
{N,+1,Kas}x,, 

A.B.N. Kalk, 


N,—1.N,i 


Kab 
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C10: A>B: (N,-1)x, 


图 2.5.3 非 相 互信 任 域 的 安全 认证 协议 


2.5.5 利用 册 辑 理论 对 安全 城 认证 协议 的 形式 化 描述 


2551 BAN 逻辑 


设 A,B,S don BARES LK, KeK, 表示 具体 的 共享 密 钥 ; No, No N, 表示 随机 数 ;P， 
Q 表示 任意 对 象 ;X,Y 表示 任意 语句 , 则 BAN 的 逻辑 语义 如 下 。 

(D P|=X:P 相信 XX 

(2) Pd4X:P 曾经 收 到 X 

(3) PISX:P 曾经 发 送 和 

(4) P|>X:P xt X 有 管辖 权 

(5) #X:X 是 新 的 

(6) HOO X 是 单 向 杂凑 函数 

(7) (X,Y):X ALY 联结 

(8) POQ): P 和 Q 使 用 相同 的 密 钥 K. 进行 报 文 传输 

(9) (X),: 由 密 钥 K 加 密 报 文 X 

BAN 逻辑 主要 有 以 下 5 REHAR: 


HAAY P|=QeP(K).P4 X 
CD 消息 含义 法 则 : PI-Qiex 
P|=#X,P|=Q|~>X 
P|=Q|=x 
P|=Q|>X,P|=Q|=Xx 
@ 管辖 法 则 : Pl=x 
P4(X.Y) PI=QeP(K) PIX} x 
PIX ' PIX 


j P|=#X 
SENE eS EGGS 


© 临时 值 校 验 法 则 : 


© BRA, 
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2552 非 信任 安全 域 认证 协议 的 形式 化 证 明 


1. 初始 假设 集合 
A |= (APR(K,,)); R|=(APR(K,,)); B |= BSK Di S |= (BeS(K,)); 
R |= RTK); T |= RTE; = S |= (SePTK,)); T |= (STK); 
B |= S | >(Ae©B(Ka)); A|-R|-(GeBG.); 
R|=T | >(ReS(K„)); S|=T | >ReS(K„)); 
随机 数 : 
A |ÆR | >#(AeB(Ka)); Al|=#N,.; A|=#N,; 
RI|=T| >#ReS(K„); RI=#N,; S|\= #N,; 
S |= #(ReS(K„)); B |= #(BOS(K,)) 
2. 认证 协议 的 预期 目标 集 a 
A|=(A@B(K,,)); Bl|= (AP B(K,,)); 
R |= (RPS(K,,)); S |= QS) 
也 即 协 议 的 预期 目标 是 : A 和 B 之 间 最 终 完 成 认证 ,获得 子 域 认证 服务 器 R 为 它们 分 配 的 
会 话 密 钥 ;同时 ,服务 器 R 和 S 之 间 也 完成 认证 ,获得 父 域 认 证 服务 器 T 为 它们 分 配 的 会 话 
密 钥 。 
3. 认证 协议 推理 目标 集合 8 
利用 初始 假设 集合 和 逻辑 公理 推理 。 如 图 2. 5. 3 所 示 ,首先 考虑 认证 协议 的 消息 3: 
R4 (N,N, ROS(K,,). € (ROS(K,,)) AN, ROS(K, bk, bk, (2.5.1) 
利用 假设 R|=(ROTCK,,)) 8I BAN 逻辑 公理 中 的 可 推导 出 : 
RIST [~ N,N,,ReS(K,),#(ReS(K,)),{N,, ReS(K,)}r, (2.5.2) 
利用 假设 R| — £ N, FGESEA PET ON fe Sj 


R | T |= (RPS(K,,). £CGRSCK,))) (2.5.3) 
Al FARE R|=T|>CROSCK,, VRHA f OO nm HES Hi : 
R |= (ReS(K,,). # (ROS(K,,))) (2.5.4) 


因此 ,我 们 可 得 RI 三 (RS(K,,)) 和 RI 三 # (Re”rS(K,,)) 成 立 。 
考虑 认证 协议 的 消息 4: 


R4 {N,,ReS(K,)}x, (2.5.5) 
利用 假设 S| =(SoT(K,,)) Al S| =# (ROS(K,,)) VAR iB EZ T rp f DOO mi] Hf S iB s 
S |=T |= (RES(K,)) (2.5.6) 

HAR R|=T|>(ROSCK,, )) Ae FRA Fl O n] ES HH : 
S |= (RES(K,)) (2.5. 7) 


根据 式 (2. 5. 4) ASK (2. 5.7) 可 知 ,服务 器 R 和 S 之 间 完 成 认证 ,并 获得 认证 服务 器 T 
为 它们 分 配 的 会 话 密 钥 K,,。 

考虑 认证 协议 的 消息 7: 

Ad (N, AP BK) #(ACB(Ka)) x, } (2.5.8) 
利用 假设 A|=(ACR(K,,) MAIS FN, 以 及 逻辑 公理 中 的 中 加 可 推导 出 : 
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A|=R |= (APB(Ka). E CAGBOGG)) (2.5.9) 
利用 假设 A|=R|> 8 (ACB(K,,)) AZ SI ZR POO ATE S Hh 
A |= CACGBOGO , # (ACB(Kas))) (2. 5. 10) 


因此 ,我们 可 得 AL CAO B(K,,)) fI AI € (AP B(K,,)) RE, 
考虑 认证 协议 的 消息 8: 


B4 (N, Ao BGGx, (25, 11) 
利用 假设 B| =(BOSC(K,,)) M B|=# (BOS(K,, DIRE SH ZS Br B DO n] ES HH 
B |=S |= (AeBGG) (2.5.12) 
利用 假设 BI eSI # (ACB(Ky)) Cre ) 和 逻辑 公理 中 的 @ 可 推导 出 : 
B |= (A? BCK。)) (2.5. 13) 
根据 式 (2. 5. 10) 5X (2. 5. 13) AT AA 和 B 之 间 完 成 认证 ,并 获得 认证 服务 器 R 为 它 
们 分 配 的 会 话 密 钥 Kus. 
4. 结论 
推理 目标 集合 8 为 


A|=(APB(Ky)); Bl|= (A~B(K,)); 
R |= (ReS(K„)); S|= (ROSCK,,)) 
可 见 有 预期 目标 集合 <cSB, 协 议 达 到 预期 目的 。 
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数字 签名 


针对 当前 计算 机 网 络 的 安全 隐患 和 屡 受 攻击 的 现状 ,计算 机 界 已 经 发 展 了 许多 与 网 
络 安全 相关 的 技术 。 例 如 ,使 用 数据 加 密 、 存 取 控制 等 许多 技术 可 以 对 数据 通信 时 的 保 
密 性 和 完整 性 予以 保证 。 然 而 仅仅 有 这 些 还 是 不 够 的 ,特别 是 近年 来 , 随 着 电子 商务 的 
发 展 ,人 们 通过 通信 和 网络 进行 快速 、 远 距离 的 贸易 ,数字 或 电子 签名 也 应 运 而 生 并 开始 用 
于 商业 通信 系统 ,诸如 在 电子 邮件 .电子 转账 办公 自 动 化 等 系统 中 。 这 些 都 要 求 根 据 不 
同 的 情况 设计 出 适合 特定 情况 的 .安全 而 有 效 的 数字 签名 ,以 适应 飞速 发 展 的 网 络 环境 
下 的 安全 需要 。 

本 章 对 公 钥 密码 体制 和 典型 数字 签名 机 制 进行 简单 的 介绍 ,然后 详细 说 明基 于 椭圆 曲 
线 的 密码 体制 ,并 提出 基于 椭圆 曲线 密码 体制 的 群体 导向 (1, 2) 门限 签名 方案 ,给 出 了 其 安 
全 和 性 能 分 析 。 


31 公 钥 密码 体制 


公 钥 密码 体制 由 Diffie 和 Hellman” F 1976 年 在 他 们 发 表 的 (密码 学 的 新 方向 ) 一 文 
中 首次 提出 ,引发 了 密码 学 领域 的 一 场 变革 。 他 们 指明 了 实现 在 某 些 已 知 的 数学 求解 问题 
上 建立 密码 的 具体 途径 ,这 使 得 在 网 络 传送 过 程 中 的 发 送 端 和 接收 端的 无 密 钥 传输 的 保密 
通信 是 可 能 的 。 之 后 ,Rivest,Shamir 和 Adleman™ 三 位 学 者 于 1977 年 提出 了 第 一 个 比较 
完善 的 公 钥 密码 体制 ,这 就 是 著名 的 RSA 公 钥 密码 体制 。 该 算法 允许 不 曾 联系 的 两 个 个 体 
之 间 进 行 保密 通信 。RSA 既 可 以 用 于 保密 ,也 可 以 用 于 数字 签名 。 随 后 ,人 们 又 提出 了 各 
种 基于 不 同 的 计算 问题 的 公 钥 密码 体制 ,如 著名 的 EIGamal 忠 公 钥 密码 体制 。 


3.1.1 密码 体制 分 类 


根据 密 钥 的 特点 ,Simmons 叶 把 密码 体制 分 为 对 称 密码 体制 (symmetric cryptosystem) 
和 非 对 称 密码 体制 (asymmetric cryptosystem) 两 种 。 


1. 对 称 密码 体制 
所 谓 对 称 密码 体制 , 即 加 密 和 解密 使 用 相同 的 密 钥 ,因此 该 体制 又 称 为 单 密 钥 密码 体 
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制 。 在 这 种 体制 中 ,即使 有 时 加 密 、 解 密 密 钥 不 相同 ,但 它们 之 间 仍 存在 着 一 定 的 联系 ,是 容 
易 互 相 推导 出 来 的 ,如 DES 密码 体制 。 

对 称 密码 体制 存在 着 两 个 主要 的 问题 : 一 是 在 密 钥 的 分 配 与 管理 方面 ,由 于 其 加 密 与 
解密 使 用 的 是 相同 的 密 钥 ,发 送 和 接收 双方 都 必须 知道 同一 个 密 钥 ,因此 双方 必须 事先 通过 
某 一 秘密 途径 把 密 钥 传送 到 另 一 方 。 按 照 这 种 情况 , 当 同 时 及 个 用 户 要 进行 通信 时 ,需要 
的 密 钥 数 为 n(n 一 1)/2 个 。 因 此 ,有 关 密 钥 的 分 配 、 安 全 传送 ,保密 管理 是 一 件 很 困难 的 
事情 。 

此 外 ,在 数据 的 完整 性 保护 方面 ,由 于 保密 通信 双方 都 有 相同 的 加 /解密 密 钥 ,信息 的 接 
收 方 可 以 很 容易 地 自 改 原文 内 容 , 信 息 的 发 送 方 也 可 以 否认 发 出 的 内 容 。 因 此 ,对 称 密码 体 
制 在 数字 签名 和 身份 认证 上 的 应 用 是 难以 实现 的 。 


2. 非 对 称 密码 体制 

所 谓 非 对 称 密码 体制 , 即 加 密 和 解密 使 用 不 同 的 密 钥 ,也 称 其 为 双 密 钥 密 码 体 制 。 
非 对 称 密码 体制 的 基本 思想 是 : 不 仅 公开 加 密 算法 ,而 且 加 密 用 的 密 钥 也 公开 。 即 可 以 
将 每 一 个 用 户 的 加 密 密 钥 作 为 公 钥 , 而 把 解密 密 钥 ( 私 钥 ) 保 密 就 可 以 了 ,而 且 各 用 户 的 
个 人 解密 密 钥 由 各 自 保密 保管 。 若 用 户 A 要 向 用 户 B 发 送信 息 ,A 只 要 查找 到 B 已 公开 
的 公 钥 ,并 对 文件 进行 加 密 后 发 送 给 用 户 B 即 可 ,而 B 在 收 到 密 文 后 利用 个 人 私 钥 对 密 
文 进行 解密 即 可 得 到 由 A 发 过 来 的 明文 。 由 于 这 种 密码 体制 的 加 密 密 钥 是 公开 的 ,因此 
又 称 这 种 加 密 体制 为 公开 密 钥 密码 体制 ,简称 公 钥 体制 ,目前 被 广泛 应 用 在 数字 签名 与 
身份 认证 领域 。 


3.1.2 公 针 密码 体制 原理 
公 钥 密码 体制 的 最 大 特点 是 采用 两 个 相关 密 钥 将 加 密 和 解密 功能 分 开 ,其 中 一 个 密 铀 


称 为 公 钥 , 另 一 个 密 钥 称 为 私 钥 。 而 且 从 一 个 密 钥 难 以 推导 出 另 一 个 , 且 可 以 分 离 使 用 。 通 
信 双 方 在 通信 之 前 无 需 事 先 交 换 密 钥 就 可 以 建立 起 保密 通信 ,并 进行 数据 传送 。 


如 图 3.1.1 所 示 。 
用 户 用 户 
B A 


m 
(明文 ) 


图 3.1.1 公 钥 密码 体制 


图 3.1.1 中 ,假设 B 要 向 A 传送 一 个 文件 ,其 具体 实现 原理 说 明 如 下 : 

COD 用 户 A 用 某 种 数学 算法 产生 一 对 个 人 私 钥 Cda) 和 公 钥 (ea)。 并 把 公 钥 ea 公布 
出 去 。 

(2) HP B BIA 公开 的 公 钥 ea 对 明文 m 进行 加 密 : M— Eea Gr) ,并 把 密 文 M 发 送 给 
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用 户 A。 

G) HIP! A 在 收 到 密 文 M 后 ,用 个 人 私 钥 ds 恢复 出 明文 Dda (M) = Dda (Eea Gn) =m. 

由 上 述 原 理 可 以 看 出 ,这 里 的 公 钥 ea 并 不 需要 进行 保密 ,只 要 保证 它 的 真实 性 即 可 。 

公 钥 密码 体制 主要 可 以 提供 以 下 功能 。 

(1) 机 密 性 : 保证 非 授 权 人 员 不 能 非法 获取 信息 ,要 通过 数据 加 密 来 实现 。 

(2) 认证 : 保证 对 方 属于 所 声称 的 实体 ,主要 通过 数字 签名 来 实现 。 

G) 数据 完整 性 : 保证 信息 内 容 不 被 算 改 ,使 入 侵 者 不 可 能 用 假 消 息 代替 合法 消息 , 主 
要 通过 数字 签名 来 实现 。 

(4) 不 可 抵赖 性 : 发 送 者 不 可 能 事后 否认 他 发 送 过 的 消息 ,消息 的 接收 者 可 以 向 中 立 
的 第 三 方 证 实 所 指 的 发 送 者 确实 发 出 了 消息 ,通过 数字 签名 来 实现 。 

公 钥 密码 体制 的 安全 性 基于 复杂 的 数学 难题 中 。 对 于 某 种 数学 难题 ,如 果 利 用 通用 的 
算法 计算 出 密 钥 的 时 间 越 长 ,那么 基于 这 一 数学 难题 的 公 钥 密 码 体制 就 被 认为 是 越 安全 的 。 
目前 ,根据 所 基于 的 数学 难题 来 分 类 ,以 下 3 种 密码 体制 被 认为 是 安全 和 有 效 的 : 

(1) 基于 整数 因子 分 解 的 密码 体制 ,如 RSA 和 DSA 密码 体制 。 

(2) 基于 离散 对 数 问题 的 密码 体制 ,如 ElGamal 中 密码 体制 。 

(3) 基于 椭圆 曲线 离散 对 数 问题 的 密码 体制 。 

公 钥 密码 体制 采用 的 加 密 密 钥 ( 私 钥 ) .解密 密 钥 ( 公 钥 ) 是 不 同 的 。 由 于 加 密 密 钥 
是 公开 的 , 密 钥 的 分 配 和 管理 就 很 简单 ,而 且 能 够 很 容易 地 实现 数字 签名 ,因此 非常 适 
合 应 用 于 电子 商务 。 从 本 质 上 看 ,由 于 公 钥 密码 体制 基于 尖端 的 数学 难题 ,计算 起 来 
非常 复杂 ,所 以 , 公 钥 密码 比 私 钥 (如 DES 和 RC5 等 ) 加 密 的 速度 要 慢 。 在 实际 应 用 
中 , 公 钥 密码 体制 并 没有 完全 取代 私 钥 密码 体制 ,通常 是 利用 二 者 各 自 的 优点 ,采用 公 
钥 密 码 体制 作 密 钥 加 密 ( 或 只 加 密 少 量 数据 ), 私 钥 密码 体制 则 用 作对 大 量 数据 进行 加 
密 , 这 就 是 混合 加 密 体制 。 混 合 加密 体 制 较 好 地 解决 了 运算 速度 问题 和 密 钥 分 配 管理 
问题 。 


TY 


3.1.3 Diffie-Hellman 密 钥 交换 


Diffie 和 Hellman 公 钥 密码 体制 上 3 主要 描述 了 通信 双方 的 密 钥 交换 协议 。 通 过 这 一 
协议 ,通信 双方 A 和 B 可 以 从 一 个 不 安全 的 传输 信道 上 获得 和 分 享 一 些 秘密 信息 ,可 以 将 
这 些 信息 作为 私 钥 体 制 中 的 密 钥 ,如 图 3. 1. 2 所 示 。 


用 户 4 MFB 

(1) 选择 a, HP =g’ (1) 选择 b, 计算 Ps =g’ 
(2) RŽP, D Ri P, 

(3) iH K puie =( Ps G) FE K poe =(P) 

-(ghy -(goy 


[83.1.2 Diffie-Hellman 密 钥 交换 
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Diffie-Hellman 密 钥 交 换 过 程 如 下 : 

(1) A 和 B 公开 选 定 一 个 确定 的 群 G 和 其 中 的 一 个 元 素 gEG; 

(2) A 产生 一 个 随机 整数 a(a€EG) ,计算 P4 — g* ,并 通过 公共 信道 传递 给 B; 

(3) 已 产生 一 个 随机 整数 2(OEG) ,计算 Ps — g^ JE g^ 传送 给 A; 

(4) A ICI P s 后 ,计算 (Ps)" 一 (8)"; 

(5) BUS P A REPS (g^ , 

这 样 ,A 和 B 就 共同 构建 了 一 个 共同 的 群 元 素 P sau = (PA — (Pr) — g^. 

值得 注意 的 是 ,这 并 不 是 原始 的 密 钥 交换 ,因为 第 三 方 C 可 以 模仿 A 或 B。 但 是 ,这 一 
协议 可 以 用 下 面 的 方法 得 到 修正 : 依靠 一 个 重要 的 、 值 得 信赖 的 权威 来 确认 g* 来 自 A 以 及 
g* 来 自 B, 确 认可 以 利用 数字 签名 技术 来 实现 。 注 意 到 攻击 者 C 可 以 知道 群 G,g,g* 和 
8g*, 并 利用 这 些 信息 来 构建 出 g”。 这 一 问题 一 般 称 为 Diffie-Hellman 问题 。 

由 上 文 可 知 ,Diffie-Hellman 问题 是 建立 在 求解 离散 对 数 问题 之 上 的 。 如 果 攻 击 者 C 
在 得 知 g 和 g" 的 知识 后 ,通过 求解 离散 对 数 问题 从 而 求 出 整数 a, 那么 攻击 者 C 就 成 功 地 
破解 了 Diffie-Hellman 问题 。 


3.1.4 RSA 密码 体制 


RSA 密码 体制 用 数论 构造 ,其 理论 基础 是 一 种 特殊 的 可 逆 模 指数 运算 。 它 的 安全 性 基 
于 分 解 大 整数 困难 性 ,是 迄今 为 止 理论 上 最 为 成 熟 的 公 钥 密码 体制 ,该 体制 目前 被 广泛 应 
用 。 下 面 是 RSA 算法 加 的 撒 述 ， 

dE on 是 两 个 大 素数 p lg WE. BI n= pq. d(n) =(p—1)(q-1).K=({(n, p.qvesd) | 
n= pq,ed=1(mod $8(n))}。 对 每 一 个 二 (nn,p.qrewd) 定 义 如 下 。 

加 密 过 程 : Ex (a) =2° (mod n) rE Z, 3 

解密 过 程 : De Cy) =y (mod D 3 € Z,. 
Hep n File 被 公开 ,而 p 和 4d 保密 。 

为 了 建立 密码 系统 ,签名 方 用 户 B 需要 完成 以 下 步骤 : 

(1) 随机 选取 两 个 大 素数 户 和 9; 

(2) 计算 n= pq fl G0 —(p—D(G—D: 

(3) 随机 选取 整数 e, 使 其 满足 ged(e $6000. A 1—e— $460; 

(4) 计算 d, 使 其 满足 ed=1( mod $G00 ,并 作为 解密 密 钥 。 
最 后 将 n 和 加 密 密 钥 e 公开 。 

由 上 述 算法 可 知 ,RSA 密码 体制 的 安全 性 建立 在 两 个 大 素数 p 和 gq 上 ,假若 n= 二 pg 能 
够 成 功 地 被 因 式 分 解 , 则 RSA 便 被 击破 。 因 为 车 p 和 9g 为 已 知 , 则 $807) 二 (p 一 1)(g 一 了) 便 
可 被 计算 出 ,而 解密 密 钥 d WIE ed —1(mod $G00 Mt d 很 容易 求 得 。 因 此 ,RSA 的 安全 性 
依赖 于 因 式 分 解 的 困难 性 。 随 着 计算 水 平 的 不 断 提高 ,为 了 加 强 RSA 算法 的 安全 性 ,只 好 
不 断 增加 RSA 算法 的 密 钥 长 度 。 在 电子 商务 的 SET 协议 中 ,规定 用 户 使 用 1024 比特 或 以 
上 的 RSA 密 钥 ,而 认证 中 心 CA 则 需要 使 用 2048 比特 或 以 上 的 RSA 密 钥 。 但 这 样 做 会 导 
致 运算 速度 (特别 是 解密 时 ) 的 下 降 , 以 及 密 钥 存储 和 管理 成 本 的 增加 。 
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3.1.5 ElGamal 密码 体制 


与 RSA 一 样 ,ElIGamal 算法 在 密码 协议 中 也 是 被 广泛 应 用 的 一 类 公 钥 密码 算法 ,而 最 
初 的 椭圆 曲线 密码 体制 也 是 基于 ElGamal 算法 原理 的 。ElGamal 算法 的 安全 性 是 基于 求 
解 离散 对 数 问题 CDLP) 的 困难 性 。 以 下 是 ElGamal 算法 的 详细 描述 。 


1. 参数 的 构成 

首先 使 用 者 A 和 B 按 如 下 方法 各 自生 成 一 对 个 人 公 钥 和 私 钥 : 

COD. 生成 一 个 大 的 随机 素数 p 和 整数 模 p 的 乘法 群 Z; 的 一 个 生成 元 a; 
(2) 选取 一 个 随机 整数 a,1 三 a 三 p 一 2, 计 算 a (mod p); 

(3) FAR A 的 公开 密 钥 是 (p,a,a"); 私 钥 是 a。 


2. 加 密 过 程 

现在 假设 用 户 B 要 对 消息 mm 加 密 并 发 送 给 A , 则 用 户 B 执行 如 下 步 又 : 
CD 获取 A BS AES BI Cp asa: 

C2) 将 消息 m 表示 成 (0,1,…,p 一 1) 范 围 内 的 整数 ; 

G) 选取 一 个 随机 整数 &,1<k<p 一 2; 

(4) 计算 y=at(mod p) FI S= Gn Ca*)*) (mod p); 

(5) 发 送 密 文 M 一 (7,0) 给 A。 


3. 解密 过 程 

A 在 收 到 密 文 M 后 ,执行 如 下 步骤 进行 解密 : 

COD HAT AGAS] e 计算 出 y^ * (mod p) =y =at; 

(2) 计算 7Y*，6(mod p) 三 a ^ * ma * —m(nod p) 恢 复出 明文 m, 

由 上 述 加 解密 过 程 可 知 ,ElGamal 密码 体制 也 是 建立 在 解 离 散 对 数 问题 (DLP) 困 难度 之 
上 的 。 有 一 点 需要 指出 的 是 ,在 ElGamal 密码 体制 中 要 用 不 同 的 随机 整数 来 加 密 不 同 的 消 
息 。 因 为 假若 使 用 同一 个 随机 整数 上 来 加 密 两 个 消息 mw 和 m ,所 得 到 的 密 文 对 分 别 是 (7 ， 
0, AVC Ye 82) ,6 /6 三 m/ms, 故 当 mm 为 已 知 时 ,ms 也 可 以 计算 出 来 。 另 外 ,ElGamal 密码 体制 
还 有 一 个 称 为 “消息 扩展 ”的 缺点 , 即 密 文 长 度 是 所 对 应 的 明文 长 度 的 两 倍 。 


32 数字 签名 


数字 签名 是 建立 在 公 钥 密码 体制 上 的 一 种 应 用 , 它 在 网 络 安 全 ,包括 身份 认证 ,数据 完 
整 性 、 不 可 和 否认 以 及 匿名 方面 有 着 重要 的 应 用 。 本 节 主 要 介绍 数字 签名 的 基本 概念 和 几 个 
特殊 的 数字 签名 方案 。 


3.2.1 数字 签名 基本 概念 


为 了 鉴别 文件 或 书信 的 真 伪 性 ,传统 的 做 法 是 相关 人 员 在 文件 或 书信 上 亲笔 签名 或 印 
章 。 而 数字 签名 并 不 是 使 用 “手写 签名 ”类 型 的 图 形 标志 , 它 利用 各 种 加 密 算法 来 完成 签名 
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的 功能 。 数 字 签 名 用 来 保证 信息 传输 过 程 中 信息 的 完整 性 并 提供 信息 发 送 者 的 身份 。 在 电 
子 商务 中 安全 方便 地 实现 在 线 支付 ,而 数据 传输 的 安全 性 、 完 整 性 .身份 验证 机 制 以 及 交易 
的 不 可 抵赖 措施 等 大 多 通过 安全 性 认证 手段 加 以 解决 ,电子 签名 可 以 进一步 方便 企业 和 消 
费 者 在 网 上 做 生意 ,使 企业 和 消费 者 双方 获 利 。 例 如 ,商业 用 户 无 需 在 纸 上 签 字 或 为 信函 往 
来 而 等 待 , 足 不 出 户 就 能 通过 网 络 获得 抵押 贷款 、 购 买 保险 或 者 与 房屋 建筑 商 签 订 契 约 等 
企业 之 间 也 能 通过 网 上 协商 达成 有 法 律 效力 的 协议 。 

基于 公 钥 密码 体制 和 私 钥 密码 体制 都 可 以 获得 数字 签名 ,但 目前 几乎 所 有 的 数字 签名 
都 是 基于 公 钥 密码 体制 的 。 数 字 签 名 原理 如 图 3.2. 1 所 示 ,其 处 理 过 程 如 下 : 

(1) 使 用 单 向 散 列 函数 将 发 送 文 件 加 密 产 生 数 字 摘 要 ; 

(2) 发 送 方 用 自己 的 私 钥 对 摘要 再 加 密 , 这 样 就 形成 了 数字 签名 ; 

(3) 将 原文 和 加 密 的 摘要 同时 传 给 对 方 ; 

(4) 接收 方 用 发 送 方 的 公共 密 钥 对 摘要 解密 ,同时 对 收 到 的 文件 用 同样 的 单 向 散 列 函 
数 加 密 产 生 又 一 个 摘要 ; 

(5) 将 解密 后 的 摘要 和 收 到 的 文件 在 接受 方 与 重新 产生 的 摘要 对 比 ,如 果 两 者 一 致 , 则 
说 明 是 发 送 方 签名 的 文件 ,而 且 传 送 过 程 中 信息 没有 被 破坏 和 算 改 ,否则 ,或 者 不 是 发 送 方 
签 的 名 ,或 者 信息 已 失去 其 安全 性 和 保密 性 。 


合并 对 m 取 哈 希 值 
明文 (m) | 传送 Hx (m) = H(m) 
明文 (m) SS oS 比 
密 文 (M) 密 文 (M) 较 
=. | te 


n 公 角 加密 私 钥 对 密 文 ODE 


图 3.2.1 数字 签名 原理 


3.2.2 数字 签名 的 特点 


随 着 信息 时 代 的 来 临 , 人 们 和 希望 通过 数字 通信 网 络 进行 迅速 的 . 远 距 离 的 贸易 合同 的 签 
名 ,数字 或 电子 签名 法 应 运 而 生 , 并 开始 用 于 商业 通信 系统 ,诸如 电子 邮递 .电子 转账 ,办 公 
自动 化 等 系统 中 。 

手写 签名 与 数字 签名 的 主要 区 别 在 于 : 

(1) 签署 文件 方面 的 不 同 。 一 个 手写 签名 是 所 签 文件 的 物理 部 分 ,而 一 个 数字 签名 并 
不 是 所 签 文件 的 物理 部 分 ,因此 所 使 用 的 数字 签名 算法 必须 设法 把 签名 * 绑 ?到 所 签 文件 上 。 

(2) 验证 方面 的 不 同 。 一 个 手写 签名 是 通过 与 一 个 真实 的 手写 签名 相 比 较 来 验证 的 ， 
这 种 方法 很 不 安全 ,上 且 很 容易 伪造 。 而 数字 签名 能 够 通过 一 个 公开 的 验证 算法 来 验证 ,这 
样 , 任 何人 都 能 验证 数字 签名 ,安全 的 数字 签名 算法 的 使 用 将 阻止 伪造 签名 的 可 能 性 。 

(3) 复制 方面 的 不 同 。 一 个 手写 签名 不 易 复 制 ,因为 一 个 文件 的 手写 签名 的 复制 容易 
与 原文 件 区 别 开 来 。 而 一 个 数字 签名 容易 复制 ,因为 一 个 文件 的 数字 签名 的 复制 与 原文 件 
一 样 ,这 个 特点 要 求 我 们 阻止 一 个 数字 签名 的 重复 使 用 ,一 般 通 过 要 求 信息 本 身 包含 诸如 日 
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期 等 信息 来 达到 阻止 重复 使 用 签名 的 目的 。 

一 个 签名 算法 至 少 应 满足 以 下 3 个 条 件 : 

CD 签名 者 事后 不 能 否认 自己 的 签名 ; 

(2) 接收 者 能 够 验证 签名 ,而 其 他 任何 人 都 不 能 伪造 签名 ; 

G) 当 双 方 关 于 签名 的 真 伪 性 发 生 争执 时 ,一 个 法 官 或 第 三 方 能 够 解决 双方 之 间 发 生 
的 争执 。 

从 接收 者 验证 签名 的 方式 可 将 数字 签名 分 为 真 数字 签名 和 仲裁 数字 签名 两 大 类 。 在 真 
数字 签名 中 ,签名 者 直接 把 签名 消息 发 送 给 接收 者 ,接收 者 无 需求 助 第 三 方 即 能 验证 签名 。 
而 在 仲裁 签名 中 ,签名 者 把 签名 消息 经 被 称 为 仲裁 者 的 第 三 方 发 送 给 接收 者 ,接收 者 不 能 直 
接地 验证 签名 ,签名 的 合法 性 是 通过 仲裁 者 作为 媒介 来 保证 的 ,也 就 是 说 ,接收 者 要 验证 签 
名 必须 与 仲裁 者 合作 。 

从 计算 能 力 上 看 ,可 将 数字 签名 分 为 无 条 件 安全 的 数字 签名 和 计算 上 安全 的 数字 签名 。 
现 有 的 数字 签名 大 部 分 都 是 计算 上 安全 的 ,诸如 RSA 数字 签名 、ElGamal 数字 签名 等 。 所 
谓 计 算 上 安全 的 数字 签名 是 指 任何 有 足够 能 力 的 伪造 者 总 能 伪造 签名 者 的 签名 。 无 条 件 安 
全 的 数字 签名 的 签名 者 和 接收 者 都 是 无 条 件 安全 的 。 理 论 上 ,它们 在 许多 应 用 中 能 够 代替 
计算 机 上 安全 的 数字 签名 ,但 在 实际 应 用 中 是 不 太 有 效 且 不 能 被 应 用 的 ,这 是 因为 ,在 这 种 
数字 签名 中 需要 一 个 复杂 的 交互 密 钥 生成 协议 ,而 且 签名 很 长 ,如 同 公 钥 密码 体制 的 情况 ， 
我 们 的 主要 目的 还 是 要 设计 计算 上 安全 的 数字 签名 方案 。 


3.2.3 RSA 数字 签名 体制 


RSA 数字 签名 是 以 RSA 加 密 算法 来 实现 的 。 总 的 来 说 ,就 是 签名 方 使 用 个 人 私 钥 d 
对 消息 进行 加 密 ( 签 名 ) ;验证 方 使 用 签名 方 公 开 的 公 钥 e 解密 并 认证 。 下 面 将 对 RSA 数字 
签名 和 认证 过 程 进行 描述 。 

1. 签名 过 程 

(1) 使 用 Hash 函数 将 消息 产生 数字 摘要 HOn); 

(2) 使 用 个 人 私 钥 d 对 哈 希 后 的 消息 Gn) ETT IN A): M— CH G2)" mod n; 

(3) 将 明文 消息 m 和 加 密 密 文 M 同时 发 送 给 验证 方 。 

需要 指出 的 是 , 当 明 文 消 息 m 很 短 时 ,可 直接 对 消息 加 密 M= m mod n 而 无 需 再 取 
哈 希 。 


2. 验证 过 程 

当 验 证 方 接收 到 (M,m) 后 ,按照 如 下 步骤 来 验证 签名 的 有 效 性 : 

(1) 获得 签名 方 的 公 钥 e; 

(2) 对 密 文 进行 解密 : h—=M* mod n; 

CD 对 收 到 的 明文 消息 m 进行 哈 希 取 值 H Gn); 

(4) HIA SHOMER, 如果 等 式 h== 瓦 Cm) 成 立 , 则 代表 签名 有 效 ;否则 ,签名 
无 效 。 

在 上 述 签名 方案 中 ,首先 对 消息 m 进行 哈 希 (hash) 后 再 加 密 , 这 样 可 以 有 效 地 保护 公 
钥 e, 同 时 有 身份 辨别 和 保持 数据 完整 性 的 功能 ,达到 数字 签名 的 要 求 。 
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3. RSA 算法 证 明 
在 该 算法 的 证 明 过 程 中 ,主要 用 到 了 模 运算 的 一 些 性 质 。 以 下 是 证 明 过 程 : 
已 知 : M=(H(m)) mod 23 证明: HG) =h=M'mod n, 
证 明 : h=M'mod n 

Sh = ((H(m)) modn) mod n 

Sh = (H(m))* mod n 

Sh = (Him))** mod n (因为 ed = 1mod ¢(n)) 

eh = H(m)modn 


3.2.4 ElGamal 数字 签名 体制 


ElGamal 算法 既 可 以 用 于 数字 签名 ,也 可 以 用 于 加 密 和 解密 ,其 安全 性 建立 在 计算 有 限 
离散 对 数 问题 CDLP) 的 困难 度 上 。 目 前 已 被 ANSI X9. 30-199X 采纳 为 数字 签名 的 标准 
算法 。 

假定 待 签名 消息 为 m。 下 面 将 对 ElGamal 数字 签名 体制 进行 描述 : 


1. 参数 初始 化 
(D 在 Z, 选取 一 个 大 素数 户 ; 
(2) 在 乘法 群 Z; 中 选 定 一 个 生成 元 g， 
(3) 选取 一 个 rz,zEZ; 作为 私 钥 ; 
(4) 计算 公 钥 y — g* mod p, 并 把 y 公布 。 
2. 签名 过 程 
(1) 随机 选取 一 个 A,AEZ s 
(2) 计算 r— g* mod p; 
(3) 计算 s— CHGO2D —ar)k ^! mod (p—1); 
(A) 把 消息 m 和 签名 {r,s) 发 送 给 验证 方 。 
3. 验证 过 程 
验证 方 接收 到 消息 m 和 签名 {r,s} 后 , 按 以 下 步骤 验证 签名 的 有 效 性 : 
CD 验证 7 是否 满足 1<r<p 一 1。 若 成 立 , 则 继续 下 一 步 ;否则 ,签名 是 不 合法 的 ; 
(2) 计算 vw: v, =y'r'mod p; 
(3) 计算 vz: v; — g" mod p; 
OD 验证 vi — v, 是 否 成 立 。 若 成 立 , 则 签名 有 效 ;否则 ,签名 无 效 。 
值得 注意 的 是 ,在 上 述 签名 过 程 中 引入 了 随机 变量 上 ,这 使 得 对 于 同一 个 待 签 名 ,由 于 
的 不 同 而 导致 签名 {r,s} 的 不 同 。 另 外 ,可 以 看 到 待 消息 的 空间 为 Z; ,而 签名 结果 的 空间 则 
H Zi XZya. 

4. ElGamal 算法 证 明 
由 于 s=(H(m)—2r)k mod (p—1) 

k + s=(H(m)—azr)mod Cp—1) 

H(m)=ks+ar mod Cp—1) 
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Bt EA xR v — g" mod p 


Qu, = ght 077 mod p 

Su. =(g*) * (g7) mod p 

Cv —r * ymodp (HX y=g mod p.r— g* mod p) 
Sv =v 


3.2.5 Schnorr 数字 签名 体制 


Schnorr 数字 签名 体制 2 习 是 ElGamal 签名 体制 的 变形 ,由 Schnorr 于 1989 年 提出 。 
其 安全 性 是 建立 在 求解 离散 对 数 困难 度 的 基础 上 的 。 
假定 待 签 名 消息 为 m, 其 签名 验证 过 程 如 下 : 


1. 参数 初始 化 

(1) 在 Z, 选取 一 个 大 素数 p Ma, HP pl Dip 大 于 152 位 的 整数 ;g 大 于 150 位 
的 整数 ; 

(2) 在 乘法 群 Z; 中 选 定 一 个 生成 元 g, 且 g'—1mod p; 

(3) 选取 一 个 x ,1 二 zg 作为 私 钥 ; 

OD 计算 公 钥 y— g* mod p; 

(5) 公布 参数 p,q,g WAH y. 


2. 签名 过 程 

CD 随机 选取 一 个 kh,kE Zp s 

(2) il 3$ r— g* mod p; 

(3) 计算 e— Hr || m); 

(4) 计算 s=k+zxe mod qs 

(5) 把 消息 m 和 签名 {s,e}) 发 送 给 验证 方 。 

3. 验证 过 程 

验证 方 接收 到 消息 m 和 签名 {s,e} 后 , 按 以 下 步骤 对 签名 进行 验证 : 
(1) 计算 盖 :二 一 goy mod p; 

(2) 计算 e: e =H || m); 

(3) 验证 e= 是 否 成 立 。 如 果 成 立 , 则 签名 有 效 ;否则 ,签名 无 效 。 
由 上 述 签名 验证 过 程 可 以 看 出 ,其 储存 空间 为 Z; ,而 签名 结果 的 空间 为 Zr XZ,. 
4. Schnorr 算法 证 明 

th F n — gy *mod p 

Gr =g (g7) *mod p 

Gr' =g" mod p 
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所 以 e =H’ || m) 
Se’ =H(r|| m) 
Ge'—e 


3.2.6 DSS 数字 签名 体制 


DSS(digital signature standard) 数 字 签 名 体制 是 由 美国 国家 标准 技术 研究 所 (NIST) 
于 1991 年 颁布 ,该 体制 采用 了 DSA (digital signature algorithm) 算 法 。 该 算法 是 ElGamal 
和 Schnorr 签名 体制 的 变形 ,由 D. W. Kravitz 所 设计 ,其 安全 性 也 是 建立 在 求解 离散 对 数 
困难 度 的 基础 上 。 图 3. 2. 2 为 DSA 签名 和 验证 过 程 。 


k 


明文 (m) i H(m) 


(a) 签名 过 程 


(b) 验证 过 程 
[83.2.2 DSA 框图 


假定 待 签名 消息 为 m。 使 用 DSA 算法 的 签名 验证 过 程 如 下 : 


1. 参数 初始 化 

CD 选取 一 个 大 素数 p.217 — p—2* Herp 512<L<1024; 

(2) 选 定 一 个 (p 一 1) 的 素 因 子 q2 <p<2 , 即 字 长 为 160 位 ; 

(3) 计算 g— h^" mod p, HP p d&—^4 3883 . 1h (p 1), H A^ "mod p71; 
(4) 选取 一 个 随机 数 0c 作为 私 钥 ; 

(5) 计算 公 钥 y=g mod p; 

(6) 公布 参数 p.q.g 和 公 钥 y。 

2. 签名 过 程 

(1) BÉ BLEUS k 0<k<q; 

(2) 计算 r— C(g* mod p) mod q. IK EN fis 
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(3) 计算 s— GC! LH OD 4- xr ]) mod g; 亦 即 fo; 
(4) 把 消息 m 和 签名 {r,s} 发 送 给 验证 方 。 


3. 验证 过 程 

验证 方 接收 到 消息 m 和 签名 {r,s} 后 ,按照 以 下 步骤 对 签名 进行 验证 : 

CD 计算 w: ws ^! mod p, 亦 即 fs; 

(2) d3ESE u: uw =w * H(m)modg; 

(3) 计算 uz: uz — rw mod q; 

(4) 计算 v: v— [g^ y" ) mod p ]mod q. IK ED fis 

(5) 验证 r==v 是 否 成 立 。 如 果 成 立 , 则 签名 有 效 S8 UE EH CL. 

由 上 述 签 名 验证 过 程 可 以 看 出 , 待 消息 空间 为 Z; ,而 签名 结果 的 空间 为 Z， X Zo 
另外 ,DSS 标准 规定 DSA 算法 必须 将 SHAU (secure hash algorithm) 作为 哈 希 取 值 
函数 。 


4. DSA 算法 证 明 描述 

证 明 : v— [g^ y" ) mod p]mod q 
Sv = [ (gH ommmmod wmd) mod 5 ]mod q 
Sv = [(g Mmda grwm) mod 5 mod q 
Sv = ([g Ve mod p}mod q 
Sv = {[g mtm. ]mod p} mod q 
&v = (g*mod p) mod q 
Sv=r 


3.2.7 儿 个 特殊 的 数字 签名 


在 前 几 节 中 我 们 讲述 了 一 些 普通 的 数字 签名 方案 ,但 在 日 常 应 用 中 我 们 会 遇 到 不 同 的 
情况 和 需求 。 为 了 满足 这 种 需求 ,研究 者 提出 了 各 种 应 用 在 不 同情 况 下 的 特殊 数字 签名 方 
案 , 以 解决 或 者 部 分 解决 某 些 现实 问题 。 下 面 介绍 几 个 特殊 用 途 的 签名 方案 : 讶 签名 ,不 可 
否认 签名 、 代 理 签名 和 群 签名 。 
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BE (blind signature) 的 概念 是 由 David Chaumt5 于 1982 年 提出 。 盲 签名 方 
案 呈 中 是 一 个 有 关 两 个 实体 的 密码 系统 ,包括 请 求 签 名 方 和 签名 者 。 讶 签名 允许 请 求 签名 
方 能 够 拥有 签名 者 所 签署 的 消息 的 签名 ,同时 签名 者 在 签名 过 程 中 无 法 得 到 任何 关于 自己 
所 签署 消息 的 内 容 。 也 就 是 说 ,签名 者 只 是 对 消息 进行 数字 签名 ,而 不 能 知道 待 签 消息 的 实 
际 内 容 。 盲 签名 主要 应 用 于 数字 现金 .电子 投票 等 领域 1 。 

盲 签 名 过 程 如 图 3.2.3 所 示 。 请 求 签 名 方 把 待 签 的 明文 消息 m 通过 盲 变 换 成 为 M, 从 
而 把 明文 m 的 内 容 隐藏 起 来 ,然后 把 M 发 给 签名 者 进行 数字 签名 ;签名 者 在 签名 后 把 签名 
结果 Sig(CM) 发 回 给 请 求 签名 方 ; 请 求 签 名 方 把 收 到 的 签名 Sig(CM) 进 行 解 盲 变换 后 即 可 得 
到 签名 者 对 消息 m 的 签名 Sigon). 
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明文 | 请 求 签名 方 MIS 等 名 者 ”|Sig(M)_| ERZEN [Sizd | 请 求 签名 方 得 到 
(m) | 进行 言 变 换 进行 签名 进行 解 盲 变换 签名 Sig(m) 


图 3.2.3 盲 签名 过 程 
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不 可 否认 签名 (undeniable signatures) 的 概念 由 Chaum 和 Antwerpen”?! F 1989 年 
提出 ,并且 给 出 了 一 个 具体 的 实现 。 与 普通 的 数字 签名 一 样 ,不 可 否认 的 数字 签名 ,除了 有 具 
有 两 个 交互 的 协议 , 即 验证 协议 和 和 否认 协议 外 ,还 增加 一 个 抵赖 协议 (disavowal protocol), 
即 只 有 在 得 到 签名 者 的 许可 后 才能 进行 验证 , 亦 即 在 没有 签名 者 的 合作 的 情况 下 ,请 求 签 名 
方 将 无 法 验证 签名 的 合法 性 。 不 可 和 否认 签名 主要 由 以 下 3 部 分 组 成 : 

CD 签名 过 程 : 签名 者 A 对 消息 进行 数字 签名 ,其 他 人 不 能 伪造 该 签名 ; 

(2) 确认 过 程 : 请 求 签 名 方 B 和 签名 者 A 执行 交互 式 协议 ,以 确认 该 签名 的 有 效 性 ; 

(3) 否认 协议 : 签名 者 A 和 请 求 签 名 方 B 执行 的 交互 式 协议 ,使 得 签名 者 A 能 够 向 请 
REAN B 证明 某 个 签名 不 是 自己 签署 的 ;不 属于 签名 者 A 的 签名 一 定 能 够 通过 否认 协 
议 , 属 于 签名 者 A 的 合法 签名 ( 即 签名 者 A 进行 欺骗) 通过 和 否认 协议 的 概率 极 小 而 可 以 
忽略 。 

不 可 否认 的 签名 可 以 应 用 在 许多 方面 ,例如 某 公司 A 开发 了 一 个 软件 ,A 把 该 软件 和 
对 该 软件 的 不 可 否认 签名 卖 给 B。B 当面 验证 A 的 签名 ,以 确认 该 软件 的 真实 性 。 现 在 ， 
假若 B 想 把 该 软件 的 复制 品 私自 卖 给 第 三 方 C, 但 由 于 没有 公司 A 的 参与 ,因而 C 无 法 验 
证 该 软件 的 真实 性 ,从 而 保护 了 公司 A 的 利益 。 不 可 和 否认 签名 把 签名 者 与 消息 之 间 的 关系 
和 签名 者 与 签名 之 间 的 关系 分 开 。 在 这 种 签名 方案 中 ,任何 人 能 够 验证 签名 者 实际 产生 的 
签名 ,验证 方 还 需要 验证 该 消息 的 签名 是 否 有 效 。 

但 是 不 可 否认 签名 也 有 缺点 : 假若 签名 者 不 愿意 合作 或 者 签名 者 不 能 被 利用 ,签名 就 
不 能 被 验证 。 因 为 ,不 可 和 否认 数字 签名 只 有 在 得 到 原始 签名 者 的 合作 下 才 可 以 进行 验证 ,所 
以 ,签名 者 可 以 拒绝 合作 或 在 某 种 情况 (网 络 繁忙 等 ) 下 不 能 参与 合作 。 基 于 这 种 情况 ， 
Chaum 引进 了 证 实数 字 签 名 [5 的 概念 。 证 实 签名 中 引入 了 半 可 信任 的 第 三 方 , 他 完成 签名 
的 证 实 和 否认。 当然 , 半 可 信任 的 第 三 方 不 能 参与 签名 的 计算 ,他 只 给 签名 验证 者 提供 该 签 
名 的 证 实 。 很 明显 ,证 实 签名 比 不 可 否认 签名 有 所 进步 , 它 克服 了 不 可 和 否认 签名 的 缺点 ,为 
签名 的 验证 提供 了 可 靠 的 保障 。 可 证 实 签名 的 方案 ”~ 裤 也 出 现 了 不 少 ,这 方面 的 研究 还 在 
不 断 继续 ,并 提供 更 加 安全 保障 的 方案 ,以 满足 实际 应 用 的 要 求 。 
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代理 签名 (agent signature scheme) 是 指 用户 由 于 某 种 原因 指定 某 个 代理 代替 自己 签 
名 。 该 概念 由 Mambo! 4 AF 1996 年 提出 。 例 如 ,A 需要 出 差 ,而 这 些 地 方 不 能 很 好 地 
访问 计算 机 网 络 。 因 此 ,A 希望 接收 一 些 重要 的 电子 邮件 ,并 指示 其 秘书 B 作 相应 的 回信 。 
A 在 不 把 其 私 钥 给 B 的 情况 下 ,可 以 请 B 代理 。 

代理 签名 具有 以 下 几 个 方面 的 特性 3， 

CD 可 区 分 性 (distinguishability) : 任何 人 都 可 以 区 别 代理 签名 和 正常 的 签名 。 
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(2) 不 可 伪造 性 Cunforgeability): 只 有 原始 签名 者 和 指定 的 代理 签名 者 能 够 产生 有 效 
的 代理 签名 。 

(3) 代理 签名 的 差异 (deviation) : 代理 签名 者 必须 创建 一 个 能 够 检测 到 是 否 代理 签名 
的 有 效 代理 签名 。 

(4) 可 验证 性 (verifiability): 从 代理 签名 中 ,验证 者 能 够 相信 原始 的 签名 者 认同 了 这 份 
签名 消息 。 

(5) 可 识别 性 (identifiability): 原始 签名 者 能 够 从 代理 签名 中 识别 代理 签名 者 的 身份 。 

(6) 不 可 否认 性 Cundeniability): 代理 签名 者 不 能 和 否认 由 其 建立 且 被 认可 的 代理 签名 。 

另外 ,从 授权 的 程度 上 可 以 划分 为 3 类 : 完全 授权 (full delegation) 、 部 分 授权 (partial 
delegation) 和 许可 授权 (delegation by warrant) 。 
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群体 密码 学 (group-oriented cryptography) F 1987 年 由 Desmedi?? Ji, EAE WEE ifii 
向 社团 或 群体 中 所 有 成 员 需 要 的 密码 体制 。 在 群体 密码 中 ,有 一 个 公用 的 公 钥 ,群体 外 面 的 
人 可 以 用 它 向 群体 发 送 加 密 消 息 , 密 文 收 到 后 要 由 群体 内 部 成 员 的 子 集 共同 进行 解密 。 群 
体 签名 ,又 称 团 体 签 名 (group signature) 是 面向 群体 密码 学 中 的 一 个 课题 , 1991 年 由 
Chaum 和 Heyst“ HH ,具有 以 下 几 个 特点 : 

(1) 只 有 群 中 成 员 才 能 代表 群体 签名 ， 

(2) 接收 到 签名 的 人 可 以 用 公 钥 验证 群 签名 ,但 不 可 能 知道 由 群体 中 哪个 成 员 所 签 ; 

(3) 在 发 生 争议 时 ,可 由 群体 中 的 成 员 或 可 信赖 的 第 三 方 来 识别 该 签名 的 签字 者 。 

一 个 应 用 群体 签名 的 例子 : 例如 由 投标 公司 组 成 的 一 个 群体 ,一 般 情况 下 并 不 知道 哪 
一 份 标书 是 属于 哪 一 家 公司 签名 的 ,而 到 该 标书 被 选中 之 后 才能 识别 出 是 哪 一 家 公司 。 又 
如 一 个 公司 有 几 台 计算 机 ,每 台 都 连 在 局 域 网 上 。 公 司 的 每 个 部 门 都 有 自己 的 打印 机 ,也 连 
在 局 域 网 上 ,只 有 本 部 门 的 人 员 才 被 允许 使 用 他 们 部 门 的 打印 机 。 因 此 ,打印 前 ,必须 使 打 
印 机 确信 用 户 是 该 部 门 的。 同时 ,公司 不 想 暴露 用 户 的 姓名 。 然 而 ,如 果 有 人 在 当天 结束 时 
发 现 打 印 机 用 得 太 频 繁 ,主管 者 必须 能 够 找 出 谁 滥用 了 那 台 打 印 机 。 

群体 签名 可 使 用 仲裁 者 : 

(1) 仲裁 者 生成 一 大 批 公开 密 钥 / 私 钥 密 钥 对 ,并 且 给 群体 内 每 个 成 员 一 个 不 同 的 唯一 
私 钥 表 ,在 任何 表 中 密 钥 都 是 不 同 的 。 如 果 群 体内 及 个 成 员 , 每 个 成 员 得 到 m 个 密 钥 对 ， 
那么 总 共有 nXm 个 密 钥 对 。 

(2) 仲裁 者 以 随机 顺序 公开 该 群体 所 用 的 公开 密 钥 组 表 , 并 保持 各 个 密 钥 属 主 的 秘密 
记录 。 

(3) 当 群 体内 成 员 想 对 一 个 文件 签名 时 ,他 从 自己 的 密 钥 表 中 随机 选取 一 个 密 钥 。 

(4) 当 有 人 想 验 证 签名 是 否 属于 该 群体 时 ,只 需 查 找 对 应 公开 密 钥 表 并 验证 签名 即 可 。 

(5) 当 争 议 发 生 时 ,仲裁 者 亦 可 查 表 得 知 该 公 钥 对 应 于 哪 位 成 员 。 

这 个 协议 的 问题 在 于 需要 可 信 的 一方 ,而 且 m 必须 足够 长 以 避免 被 攻击 者 分 析出 具体 
是 哪 位 成 员 用 了 哪些 密 钥 。 

群 签名 给 该 群体 中 的 成 员 提供 了 匿名 性 , 即 验 证 者 只 能 信任 或 者 不 信任 签名 在 该 群 中 
的 合法 性 ,而 不 知道 该 成 员 是 谁 ,也 不 能 从 得 到 的 签名 中 分 析 哪 几 个 签名 属于 同一 个 人 产 
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生 。 所 以 , 群 签名 对 于 隐藏 组 织 中 的 组 成 结构 、 提 供 群 组 成 员 的 匿名 性 提供 了 技术 保障 , 它 
可 以 应 用 到 电子 货币 的 发 行政 府 组 织 结构 的 隐藏 .匿名 选举 .竞标 等 方面 *”]。 


33 椭圆 曲线 密码 体制 


椭圆 曲线 密码 体制 (elliptic curve cryptosystem,ECC) 是 基于 椭圆 曲线 离散 对 数 问 题 的 
公 钥 密码 体制 ,最 早 于 1985 年 由 Miller??? f Koblitz -5 分别 独 立 提出 , 它 是 利用 有 限 域 
上 椭圆 曲线 有 限 群 代替 基于 离散 对 数 问题 密码 体制 中 的 有 限 循 环 群 后 所 得 到 的 一 类 密码 体 
制 。 利 用 这 一 方法 ,可 以 构造 公 钥 比特 数 较 小 的 公 钥 密码 体制 。 

与 其 他 密码 体制 相 比 ,椭圆 曲线 密码 体制 有 以 下 几 个 优点 : 

(1) 处 理 速 度 快 。 虽 然 在 RSA 中 可 以 通过 选取 较 小 公 钥 的 方法 提高 公 钥 处 理 速 度 , 即 
提高 加 密 和 签名 验证 的 速度 ,使 其 在 加 密 和 数字 签名 的 验证 阶段 ,在 速度 上 与 ECC 有 可 比 
性 ( 比 ECC 稍 慢 一 些 ) ,但 在 解密 和 数 名 签名 阶段 ,在 私 钥 的 处 理 速 度 上 ECC 则 远 比 RSA 
和 DSA 要 快 得 多 。 

(2) 占用 存储 空间 小 。 不 存在 RSA 计算 椭圆 曲线 有 理 点 群 上 的 离散 对 数 问题 的 亚 指 
数 时 间 算 法 2 ,这 就 意味 着 在 达到 同等 安全 级 别 的 前 提 下 ,椭圆 曲线 密码 体制 只 需要 更 小 
的 比特 数 ,所 以 ECC. 的 应 用 5 前 景 非常 乐观 。 

(3) 带宽 要 求 低 。 当 对 长 消息 进行 加 解密 时 ,ECC 与 RSA 密码 算法 带宽 要 求 基本 相 
同 , 但 在 传送 短 消 息 时 ECC 带宽 要 求 比 RSA 低 得 多 。 在 带宽 要 求 低 的 无 线 网 络 领域 具有 
广泛 的 应 用 前 景 。 


3.3.1 椭圆 曲线 基本 概念 


椭圆 曲线 (elliptic curve,EC) 不 是 我 们 通常 所 指 的 椭圆 ,而 是 指 光滑 的 Weierstrass 方 
程 所 确定 的 平面 曲线 ,描述 如 下 : 
y! -Faixzy oc a4 y = x? Fasz! - aux + as (3.3.1) 
其 中 ,a;EF,i==1,2,…,6,F 是 一 个 域 。 下 可 以 是 一 个 有 理 域 .复数 域 ,也 可 以 是 一 个 有 限 
域 GF(p")。 满 足 上 述 方程 的 所 有 点 (rz,y) 即 构成 椭圆 曲线 。 
在 密码 学 上 使 用 椭圆 曲线 的 目的 在 于 : 椭圆 曲线 上 可 以 提供 无 数 的 有 限 Abel 群 ,并 且 
这 些 种 群 的 结构 丰富 、 易 于 实际 计算 ,从 而 可 以 用 于 构造 密码 算法 。 在 实际 应 用 中 ,我们 通 
常 把 椭圆 曲线 改写 成 : 
y =z +ar +b (3. 3. 2) 
的 形式 ,并 要 求 判别 式 A= 425 270^ AO, KARMA 3.3.1 所 示 。 
椭圆 曲线 密码 体制 在 模 p( 或 下 ,) 下 定义 为 椭圆 曲线 玉 : y= 二 zz 十 az 十 5, 其 中 4a? + 
270 70; HE F? 下 定义 为 椭圆 曲线 下: y^ cya tax? 十 6b, 其 中 5 去 0, 则 将 此 曲线 称 为 非 
超 奇 异 的 (nonsuper-singular) 。 另 外 ,椭圆 曲线 还 有 一 个 特殊 的 点 , 称 为 无 限 远 点 (the point 
at infinity) 或 称 为 零点 , 记 为 0, 它 并 不 真正 在 椭圆 曲线 下 上 。 
我 们 在 描述 椭圆 曲线 时 ,经 常会 用 到 以 下 几 个 词 : 
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T 
y?=x3— 5x+4 y=x3—3x+5 


图 3.3.1 实数 域 中 的 椭圆 曲线 图 形 


CD fi: E(K) 为 在 之 下 椭圆 曲线 上 所 有 的 点 所 构成 的 集合 ,点 PCz,y) 对 X 坐 
标 轴 反 射 的 点 为 一 P=P(z, 一 y) ,而 称 一 P 为 点 P 的 负 点 。 

(2) 阶 (Corder): W P ÆRMER E 上 的 一 点 ,如 果 存 在 一 个 最 小 正 整数 ,使 得 nP = 
O, 则 称 P AKRA n, ELEA RI F, 上 的 椭圆 曲线 上 的 点 构成 的 群 元 素 个 数 称 为 该 群 
的 阶 (curve order) ,用 #E(F,) 表 示 。 其 中 ,#E(F,) 可 以 用 Hasse 定理 求 出 。 

Hasse 定理 : 

pt+1—2/p < # EF, << pt+1+2Jp (3.3.3) 

Hasse 定理 只 给 出 了 #E(F,) 的 取 值 范围 ,其 精确 值 可 由 Schoof ak Schoof-Elkies- 
Aikin SEA) 57 JE HR HH. 

(3) 基点 (或 称 生成 点 ): 除了 无 限 远 的 点 O 之 外 ,椭圆 曲线 已 上 任何 可 以 生成 有 限 域 
内 全 部 点 的 点 都 可 视 为 是 EE 的 基点 G(base poinO ,但 并 不 是 所 有 在 玉 上 的 点 都 可 视 为 
基点 。 


3.3.2 椭圆 曲线 上 的 运算 法 则 


3321 椭圆 曲线 在 模 F, 下 的 运算 法 则 


1. 加 法 法 则 

COD 对 所 有 的 点 PEE(CF,), 则 P+O=0+ P=P,P+(—P)=O0; 

(2) $ P—Gi y) CEC, ) & Q— Gi; y) € ECF,). H. PA—Q. I P+Q=R(zsys), 
其 中 r, =A? — a — 22 +3 SAt — 3) y; 


=, WER P AQ 


X2 ~ Tı 
i- (3.3.4) 
iba 如 果 P=Q 
2yı 
(3) 如 果 s EF, WANARA PEEP, MR .(s+OP=sP+7P, 


2. 乘法 法 则 
COD 如 果 EF, 则 对 所 有 的 点 PC ECF) .RP—P-- PO 4 P D; 
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(2) WR s. cE FF, 则 对 所 有 的 点 PE ECF SG P-—GDOP, 
3322 椭圆 曲线 在 模 育 下 的 运算 法 则 


1. 加 法 法 则 

CD 对 所 有 的 点 PEE(CF ), 则 P--O—O--P—P.P-C-P)—0; 

2) P—Gj yi) € ECF) K Q— Gs, S) CEC Fn), H P —Q. M P-Q— 
RG,y) ,其 中 ， 


rn 
(242 2) paty Lu qoa da; MR PAQ 
Tı HT 

moe (3.3.5) 


mT me P=Q 


zi 


E $2 Js Ha) +r tas WURPZQ 


Tı FT 
ys = (3.3.6) 
x + (x: +2), + zx 如 果 P=Q 
1 
(3) WR st E Fo , 则 对 所 有 的 点 PEE(CFs ) (s+0)P=sP+1P. 


2. 乘法 法 则 
COD WÈ RE Fo , 则 对 所 有 的 点 PEE(CFs ),AP 一 P 十 … 十 P( 个 已 相 加 ); 
(2) WR sst E Fo» , 则 对 所 有 的 点 PEE) s OPE GHP., 


3.3.3 ”椭圆 曲线 可 能 遇 到 的 攻击 


椭圆 曲线 密码 体制 的 安全 性 取决 于 由 椭圆 曲线 定义 的 群 上 的 离散 对 数 问题 的 难度 。 一 
般 的 离散 对 数 包括 有 效 的 亚 指数 时 间 算 法 攻击 , 即 指数 计算 法 (index calculus) ,而 这 种 方法 
不 能 应 用 到 椭圆 曲线 离散 对 数 问题 (ECDLP) 上。 目前 ,对 于 ECDLP 的 攻击 有 两 类 : 对 一 
般 曲 线 的 攻击 和 对 特殊 曲线 的 攻击 。 
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l. Jib Apt 
Shanks 提出 的 小 步 大 步 (baby step giant step,BSGS) 攻 击 算法 是 一 个 基于 时 间 存 储 穷 
举 折 中 的 算法 , 它 不 依赖 于 基本 群 的 指数 算法 ,需要 群 的 阶 的 最 大 素 因 子 的 安全 指数 时 
间 为 OGD 。 
设 F, 是 一 个 阶 为 n( 一 个 大 素数 ) 的 有 限 群 ,其 上 有 一 点 PEF, ,并 有 一 整数 AE [1 on] OR 
解 一 个 正 整 数 , 使 得 Q=kP。 现 在 令 n= 二 Vn ,对 任何 "EL0,nj,r 可 以 唯一 地 表示 为 
r=an +b, 0Za,b<n 
这 样 对 m, 肯 定 存在 某 cy b, € [0.5]. [18 
m = asm +b, 
将 上 式 代 入 Q—&P. 1:8] 
Q=aom 十 po 也， 
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[Q—ao(m P)] = bP, 
4 P,—n P.f5) 
Q—a,P; —bP. 

然后 ,我 们 在 L0,n] 上 采用 穷 举 法 查找 出 as M b 的 值 。 其 步骤 如 下 : 

第 1 步 (小 步 ): 依次 对 5 二 0,1,…,m 计算 bP, 并 把 结果 列 成 一 个 表 ; 

第 2 步 ( 大 步 ) : 依次 对 a==0,1,…,m 计算 Qa P: ,并 在 上 表 中 查找 ;如 果 对 某 个 a 的 
值 记 为 a* ,Q 一 a* Pi 与 表 中 某 个 5 的 值 记 为 5* 所 对 应 的 5"P 相同 , 即 Q 一 a* Pi 二 bP, 则 
可 以 求 出 区 ==aoni 十 bo。 

这 一 算法 的 时 间 复 杂 度 为 O(m) 二 O(n) ,空间 复杂 度 也 是 OGn ) = OG/n ) ;因此 ,这 一 
算法 是 对 “ 穷 搜索 ”方法 在 时 间 和 空间 上 的 一 种 折 中 。 在 用 “ 穷 搜索 ”方法 求 m 时 ,其 时 间 复 
杂 度 为 O(Vn) ,空间 复杂 度 为 1。 

为 了 防止 BSGS 算法 攻击 ,n 的 长 度 至 少 应 为 40 位 的 10 进 制 数 。 指 数 计算 法 是 一 种 
亚 指数 时 间 算 法 。 由 于 BSGS 算法 和 指数 算法 都 不 能 有 效 地 用 来 解决 椭圆 曲线 离散 对 数 问 
题 (ECDLP) ,这 样 便 可 以 有 效 地 防止 该 类 攻击 。 


2. Pollard p 攻击 
Pollard p 攻击 "1 实际 上 是 大 步 小 步 法 的 一 种 变形 。 假 设 有 一 个 有 限 群 FF, 的 阶 为 7 
(一 个 大 素数 )。 将 有 限 域 F, 分 成 3 个 大 致 相等 的 子 集 Si ,S: S. ,然后 定义 F, 上 的 一 个 和 
REAR FIO (GR € FW : 
2R. RES, 
f(R)IR+P, RES; 
R+Q, RES, 
然后 随机 选取 正 整 数 Ay s Bo © [ 1.» ] GEE FE PH A 的 起 始点 Ro, 二 AoP 十 BoQ, 计 算 ， 
R, = f(Ry)> 
Ri = fR» 


Ry = fR 
对 每 一 个 R; ,有 
R: = AiP + BQ, 
H AKA B;Bai. AACR ,A;,Bi) 表 示 上 式 , 将 每 次 迭代 中 的 CR,A,B;) 记 录 下 来 并 将 
其 串 连 成 一 个 串 。 如 果 对 某 第 e; KEREP R, 恰好 与 前 面 第 j 次 迭代 中 的 R; 相同 , 即 当 
R,—R; 时 ,有 
AiP+BP = A,P+B,P, 
所 以 有 


—A; 
= p, nod no 


Pollard 攻击 法 的 时 间 复 杂 度 是 O( Vn/2), 与 大 步 小 步 法 复杂 度 基 本 相同 。1994 年 ， 
Oorschot 和 Wiener' 引 提出 了 一 项 并 行 技术 ,这 一 技术 使 得 如 果 使 用 x 个 处 理 器 同时 并 行 


计算 ,其 时 间 复 杂 度 仅 为 OC Vn/2 /m) . 


= 人 
~ B 
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3. Pohlig-Hellman 攻击 

这 种 攻击 法 于 1978 年 由 Pohlig 和 Hellman“) 42 1h , 它 实质 上 是 一 种 演化 算法 ,其 基本 
思路 是 : 假设 & 表示 点 P 的 阶 ,首先 由 的 素 因 子 分 解 式 求 出 & 的 素 因子 分 解 式 
k= ph pfi pir ,然后 对 每 一 个 i,1 二 i<r, 求 出 m mod pf ,最 后 由 中 国 剩余 定理 求 出 &。 其 
中 在 求 m mod pf 的 过 程 中 ,又 将 问题 转化 为 离散 对 数 问题 Q 二 =mP' 的 求解 问题 ,这 里 ， 
P' ØRE pim Spi. 

由 上 可 知 ,小 步 大 步 (BSGS) 方 法 和 Pollard 的 6 算法 的 时 间 复 杂 度 基本 相当 ,但 后 者 的 
空间 复杂 度 可 以 忽略 ,并 且 Pollard o 算法 还 可 以 并 行 化 处 理 , 这 对 于 一 些 特殊 类 型 的 椭圆 
曲线 可 大 大 地 提高 攻击 速度 , 它 是 迄今 为 止 所 发 现 的 最 好 的 求解 ECDLP 的 算法 。 因 此 ,为 
了 保证 基于 离散 对 数 问题 的 密码 体制 的 安全 ,所 选择 的 群 的 阶 必须 足够 大 ,对 于 有 限 域 来 
说 ,P 的 选择 只 有 在 大 于 2 时 才能 保证 不 受 现 有 的 各 种 求解 离散 对 数 问题 算法 的 攻击 。 


3332 特殊 椭圆 曲线 攻击 


特殊 椭圆 曲线 主要 有 两 类 : 一 类 是 超 奇异 (super sigular) 椭 加 曲线, 对 应 的 攻击 如 
MOV 算法 ; 男 一 类 是 异常 (anomalous) 椭 圆 有 曲线, 其 对 应 的 攻击 有 SSAS 算法 。 


1. MOV 攻击 

MOV 算法 由 Menezes, Okamoto fll Vanstone“ F 1991 年 提出 。MOV 算法 利用 Weil 
Paring 方法 ,将 有 限 域 F, 上 的 椭圆 曲线 已 上 的 ECDLP 转化 为 F, 的 离散 对 数 问题 (DLP)， 
其 中 1 是 满足 p'y'mod 的 最 小 正 整数 。 而 这 个 一 般 的 离散 对 数 问题 可 以 被 指数 算法 在 亚 
指数 时 间 内 解决 。 这 种 算法 在 ECP, ) 是 “ 超 奇 异 ? 椭 圆 曲 线 时 可 以 证 明 出 y, 而 对 于 非 “ 超 奇 
异 ” 椭 圆 曲 线 1 的 大 小 是 不 可 控制 的 。 因 此 为 了 避免 MOV 攻击 ,只 要 选择 的 椭圆 曲线 上 的 
A P BEER n 对 于 所 有 较 小 的 1 都 不 整除 (p' 一 1) 即 可 。 另 外 ,其 他 一 些 MOV 攻击 见 文 
ik[55—57]. 

2. SSAS 攻击 

如 果 有 限 域 F, 上 的 一 条 椭圆 曲线 的 阶 恰好 为 己 , 则 称 该 椭圆 曲线 为 “异常 ?椭圆 曲线 。 
Semaevt 中 用 超越 函数 域 的 方法 给 出 了 异常 ECDLP 的 攻击 算法 ,Smart 用 椭圆 对 数 给 出 了 
另 一 种 求 异常 ECDLP 的 攻击 算法 ,Satoh 和 Araki 中 也 得 到 了 类 似 的 结果 , 即 ECDLP 在 一 
些 异 常 椭圆 曲线 上 是 容易 解 的 ,但 对 于 其 他 类 型 的 椭圆 曲线 SSAS 算法 则 是 无 效 的 ,因此 在 
构造 椭圆 曲线 时 只 要 使 椭圆 曲线 上 点 的 个 数 不 等 于 有 限 域 中 元 素 个 数 就 可 以 避免 SSAS 算 
法 的 攻击 。 

总 之 ,对 于 椭圆 曲线 y= 二 zz? 十 ar 十 5b, 目 前 比较 有 效 的 攻击 方法 是 针对 椭圆 曲线 密码 体 
制 中 的 基 G 不 存在 一 个 足够 大 的 素数 和 群 的 阶 等 于 已 。 因 此 ,对 基 的 选择 只 要 注意 基 G 的 
阶 必须 是 一 个 足够 大 的 素数 和 群 的 阶 不 能 等 于 已 即 可 。 


3.3.4 椭圆 曲线 的 构建 


3341 椭圆 曲线 域 参 数 
椭圆 曲线 域 参 数 是 指 构造 一 个 椭圆 曲线 密码 系统 所 需要 的 参数 集 ,包括 有 限 域 GF(g)、 
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椭圆 曲线 E. dE ex G、 基 点 的 阶 六 椭圆 曲线 群 的 阶 # 已 \ 相 关 因子 h= £z E/n. h TESI ex 
可 以 建立 于 F, 和 Fa 两 种 有 限 域 上 ,所 以 其 参数 的 选取 也 有 些 不 同 。 

如 果 选 择 的 有 限 域 是 F, WA g= p MARTEN y 二 zx 十 axz 十 b, 参 数 是 一 个 六 元 组 
(ps,a,b,G,n,h)。 如 果 选 择 的 有 限 域 是 特征 为 2 的 有 限 域 Fn , 则 有 gq 二 2”, 对 应 的 椭圆 曲线 方 
程 为 y 十 zy 二 十 ax* 十 b, 其 参数 是 一 个 七 元 组 (Gm, 了 f(z) ,a,0,G.n,h) (BR LW 3.3.1). 
ANSI X9. 62,IEEE P1363 和 NIST 颁布 了 椭圆 曲线 加 密 算 法 的 有 关 标准 [se 。 


表 3.3.1 椭圆 曲线 参数 符号 


符 号 意义 及 说 明 

q 有 限 域 的 模 数 。 当 有 限 域 为 P, Eg = ps MARRA Fon 时 ,q 一 2"。 

GF(q) 模 为 g 的 有 限 域 (finite field) 

E 椭圆 曲线 (elliptic curve) 

G 基点 (base point) 

n 基点 为 G ff Bt Corder) 

#E 椭圆 曲线 群 的 阶 

h HX AF (cofactor) n= EE 

a,b MAHR E: 到 一 好 十 az 十 0 或 下 : 部 十 zy 一 好 十 az 十 六 的 系数 
有 限 域 Fm 中 的 多 项 式 。 根 据 ANSI X9. 62 关于 选取 既 约 多 项 式 的 建议 ,一 般 取 

f(z) f(z)=z" 十 不 十 十 x' 十 1, 其 中 要 求 k 尽 可 能 取 小 的 正 整 数 ;在 确定 后 ,j 尽 
可 能 取 小 的 正 整 数 ;在 j 确定 后 ,i 尽 可 能 取 小 的 正 整 数 。 


3342 素数 检测 算法 


素数 (prime) 是 椭圆 曲线 密码 体制 中 的 重要 因素 , 它 直 接 影响 着 密码 体制 的 安全 性 和 基 
点 的 选取 ,因此 正确 判别 一 个 数 是 否 为 素数 是 椭圆 曲线 中 基点 选择 的 一 个 重要 环节 。 但 至 
今 还 没有 一 种 百分之百 能 够 确定 某 数 (特别 是 大 奇数 ) 为 素数 的 算法 ,只 有 能 大 概 确定 某 数 
为 素数 的 算法 。 较 著名 的 素数 检测 算法 有 Solovag-Strassen 算法 、Lemann 算法 和 Rabin- 
Miller 算法 。 其 中 Solovag-Strassen 算法 的 素数 检测 性 最 强 , Lemann 算法 次 之 , Rabin- 
Miller 算法 稍 差 。 但 由 于 Rabin-Miller 算法 的 测试 时 间 最 快 ,因而 目前 最 为 常用 。 
Rabin-Miller 算法 是 一 种 素数 检测 算法 ,描述 如 下 : 
(1) 输入 待 检测 数 p 及 一 个 小 于 p 的 随机 数 a; 
(2) 将 p 一 1 表示 成 二 进 制 JE X bubus bos 
(3) 设 定 参数 d 的 初始 值 为 1; 
(4) 执行 以 下 核心 部 分 算法 : 
For i=k downto 0 do 
{ 
r—d; 
d—d' mod P 
if (d — D) and (x1) and (zn—1) then return 
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FALSE 
if 5; =1 then d=d Xa mod P 
} 

if d#1 then return FALSE 

return TRUE 


由 上 述 算法 可 知 , 当 返回 结果 为 FALSE 时 , 户 肯 定 不 是 素数 ; 当 返 回 结果 为 TRUE 
时 , 则 p 有 可 能 是 素数 。 


3343 椭圆 曲线 阶 的 计算 


椭圆 曲线 的 阶 (#E) 是 指 椭圆 曲线 在 有 限 域 FF(g) 上 所 有 整数 有 理 点 的 个 数 。 最 早 的 
求 椭 圆 曲 线 阶 的 算法 是 Schoof $E 1509 ,其 缺点 是 计算 性 差 和 计算 空间 大 。 后 经 Elkies^* 
和 Atkin?) 的 改进 而 成 为 现今 最 著名 的 求 椭圆 曲线 阶 的 SEA 算法 。 此 外 ,还 有 一 些 SEA 
算法 的 变种 算法 怪 -9 。 下 面 就 基于 有 限 域 F, 下 对 SEA 算法 进行 说 明 。 

对 素数 LG P) ,把 下 的 torion 点 群 记 作 ECL]. W E fff Frobenius 映射 ©: Cr. y) 
(rp. yp) MEH Tate BE T,(E) 上 的 线性 映像 , 且 满 足 方程 : d? — 1+ P—0, HP cA 
Frobenius 映射 的 迹 (track)。 由 前 述 的 Hasse 定理 有 p--1—:/— # E(F,)<pt+1+¢= 
2VPp), 因 此 ,如 果 找到 4 满足 

@(P)—[p]}(P)=n(P), VPEEL/], 
就 可 以 得 到 =e, mod 1, 选 取 足 够 多 的 4, 使 [2 之 4V2 ,再 由 中 国 剩余 定理 即 可 算出 椭圆 
曲线 的 阶 # ECP,» 

如 果 把 第 1 可 除 多 项 式 记 为 f(x’)[deg f= 二 (8 一 1)/2], 则 其 根 恰好 为 EUO n n 
B) x Abe. Pitt. D (P) 一 [pj(P)==w(P) 的 计算 变 成 在 环 F, CX YO/[(Y* = X? -aX + 
50),fi(z)] 中 进行 ,这 就 是 School 算法 ,其 计算 复杂 度 为 O(log (p))。 当 ELI EW 
Frobenius 映射 在 F, 中 有 特征 值 时 , 称 /为 Elkies 素数 ,否则 称 71 为 Atkin BR. WL H 
Elkies 素数 ,通过 计算 Isogeny 映射 的 核 ( 它 是 e 的 一 个 特征 子 空间 ) 可 以 得 到 除 多 项 式 的 
一 个 因子 h deg hh 三 (1 一 1)/2, 然 后 找 出 适合 的 4, 使 得 

$(P) —[A](P)mod (Y? = X? + aX +b) hu (x). 
XA BIDS © 的 特征 值 , 由 1 三 4 十 4 Pmod 1 RI ELSE HI mod 2, “41 W Atkin 素数 时 ， 
Frobenius Bt f] yl £€ F, illi i Pe S=p(C+0°-'+2)mod 1, HEP £€ Fz 是 7 次 本 原单 位 根 ,从 
而 可 以 计算 出 1 mod 71 的 一 个 可 能 值 Ti SEA 算法 实际 上 是 Elkies 和 Atkin 两 者 的 结合 。 
这 样 , 对 一 个 素数 ! ,我们 就 有 可 能 计算 出 上 mod 1 的 确切 值 ,或 者 可 以 计算 出 :mod1 的 一 个 
可 能 集合 。 再 用 大 步 小 步 法 即 可 确定 出 #E(F,)。 

AM EXE SEA 算法 ,可 以 得 出 SEA 算法 的 实现 过 程 主要 有 两 个 步骤 : 

COD 利用 Elkies 方法 、Atkin 方法 、Isogeny cycles 方法 以 及 Virtual 方法 ,收集 
Frobenius 映像 迹 1 模 一 系列 小 素数 的 信息 。 

(2) 综合 所 得 信息 ,得 到 1 的 一 个 候选 值 集合 T, 利 用 大 步 小 步 (BSGS) 算 法 从 候选 值 集 
合 工 中 选取 * 的 确切 值 ,从 而 计算 出 曲线 的 阶 。 

此 外 , 随 着 新 算法 的 出 现 及 对 现 有 算法 的 不 断 优化 .Morain*” 中 等 人 对 SEA 算法 进行 
了 一 些 改进 。 
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3344 基点 (生成 点 ) 的 产生 


椭圆 曲线 上 的 一 点 G( 一 般 G 点 为 基点 ) 存 在 一 个 最 小 正 整数 n( 一 个 素数 ) ,使 得 nG— 
OWP n WAG 的 阶 。 由 上 述 几 种 对 椭圆 曲线 的 攻击 方法 可 知 ,n 越 大 ,其 安全 性 越 高 。 
基点 的 产生 主要 有 两 个 步骤 : 首先 计算 出 候选 基点 ,然后 验证 候选 基点 的 安全 性 。 


1. 候选 基点 的 算法 

候选 基 是 指 只 是 按 一 定 的 算法 计算 出 椭圆 曲线 的 基点 ,并 没有 对 它 的 安全 性 进行 验证 。 
以 下 给 出 几 种 计算 候选 基 的 方法 。 

方法 1: 由 椭圆 曲线 方程 Es y? =r +ax+b(mod p) 的 定义 可 知 , 只 要 在 EE 上 寻找 到 一 
Arc. E 是 平方 剩余 时 , 则 可 求 得 该 zx 所 对 应 的 候选 基 的 纵 坐 标 值 yc = 
V 好 十 az 十 和 。 但 这 种 方法 的 缺点 是 效率 比较 低 .计算 量 很 大 ,所 以 只 适合 特定 的 范围 数 。 

方法 2: 由 于 在 有 限 域 上 EE:y = 2° +ax+b(mod p) 上 的 点 都 是 整数 点 ,我 们 假设 
vier = +1GEL1.p—-1)) WA yi =y +H2y:+1(mod p). AE, RER ERREEN 
计算 ,直到 找到 一 个 xz, 使 得 y= 二 =x? 十 azr 十 b(mod p) 存 在 平方 剩余 , 则 可 以 求 得 该 zx 所 对 应 
的 候选 基 的 纵 坐 标 值 yo = Vx 十 at 十 5 。 这 种 方法 比较 适合 硬件 实现 ,其 计算 效率 还 是 比 
较 低 。 

方法 3: 假设 在 椭圆 曲线 上 一 点 G Gn yn) ,将 这 一 点 代入 E: y= +ax+b(mod p) 可 
JIRE n — m? Fam d- b (mod p) IF MEM b— n^ — m Hammod p)。 从 这 个 等 式 中 不 
ME ACBL b 由 m,n 和 a 决定 ,也 就 是 说 ,如 果 将 随机 选取 5 改 为 随机 选取 mx n BET b=? — 
m’ am nod p)。 这 样 就 可 以 在 选取 椭圆 曲线 的 同时 也 选 定 了 候选 基点 。 这 是 一 种 随机 
的 选取 方法 。 由 前 面 定理 可 知 ,只 要 保证 椭圆 曲线 的 群 阶 为 素数 ,就 可 以 保证 基点 选择 的 任 
意 性 和 安全 性 。 

总 之 ,方法 1 在 不 超过 现 有 编译 软件 所 定义 的 整数 范围 内 是 一 个 相当 好 的 计算 候选 基 
的 算法 ,并 且 这 种 可 能 是 很 大 的 ,因为 每 一 个 整数 存在 平方 剩余 的 概率 为 一 半 , 而 现 有 的 编 
译 软件 有 64 位 模 长 ,也 就 是 说 ,在 这 个 范围 内 不 存在 椭圆 曲线 上 的 点 的 概率 几乎 小 到 0。 
方法 2 用 硬件 并 行 实现 效率 最 好 ,如 果 用 软件 实现 ,这 种 算法 不 如 方法 1。 方 法 3 在 椭圆 曲 
线 阶 为 素数 的 情况 下 是 最 好 的 方法 。 


2. 候选 基点 的 安全 性 检验 

由 椭圆 曲线 阶 (# 巨 ) 的 性 质 可 知 , 只 要 # 巨 为 大 素数 就 可 以 确保 所 选择 的 候选 基点 是 安全 
的 , 即 我 们 只 要 对 #EE 进行 素数 测试 即 可 。 基 于 这 一 思想 ,可 按 如 下 步骤 进行 安全 性 测试 : 

(OD 用 SEA 算法 计算 椭圆 曲线 的 阶 #EE, 检 查 #E 是 否 小 于 安全 需要 。 如 果 不 能 满足 
要 求 , 则 重新 选择 p,a.5, 并 继续 执行 第 (1) 步 : 否则 执行 (2); 

(2) 检查 # 玉 是 否 为 素数 ,如 果 为 真 , 则 输出 G 点 为 基 ,否则 执行 (3); 

(3) 对 # 已 进行 素数 因子 分 解 为 mi ,ns，… ,ni 其 中 为 素数 ,i 为 小 于 1000 的 正 整数 。 
检查 nn ,ns,… ,ni 是 否 都 小 于 安全 要 求 , 如 果 为 真 , 则 重新 选择 p.a. b 并 跳 回 第 (1) 步 ,否则 
继续 执行 (4)， 

(4) 对 mi eng st un; 进行 排序 ,生成 一 个 互 不 相同 的 序列 ini, st ni, HEP mii; 

(5) 分 别 计算 niG.niG.- ,niG 的 值 ; 
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(6) 如 果 存 在 一 个 niG—O. HP 1 二 :过 m, 检 测 ni 是 否 满足 安全 需要 。 当 ni 不 满足 要 
求 或 者 不 存在 n;G 二 O 时 ,需要 重新 选择 基点 ,再 重新 执行 第 (5) 步 ;或 者 重新 选择 psa sb. BE 
回 第 (1) 步 ;如 果 存 在 一 个 素数 niG 二 0, 但 ni 又 比 用 户 要 求 的 阶 大 , 则 同样 重新 选择 基点 后 
再 重新 执行 第 (5) 步 ,直到 满足 用 户 要 求 为 止 ; 

(7) 最 后 把 G 点 输出 并 作为 基 。 


3. 基点 产生 的 全 过 程 

综合 上 述 步 又, 基点 G(xc ,yc) 的 产生 全 过 程 描述 如 下 : 

CD 随机 选择 正 整 数 a,p,m,n,a,m,n€E[l1,p]。 

D 检测 p 是 否 为 素数 且 p 不 小 于 所 要 求 的 域 ;如 果 不 是 , 则 转 到 (1)。 

(3) 计算 b=n? 一 m? 十 am(mod p). 

(4) 检查 4a? +270? =0Cmod p) ;如果 为 真 , 则 转 到 (1)。 

(5) 利用 SEA 算法 计算 椭圆 曲线 的 阶 #。 

(6) 用 前 述 的 素数 检测 #EE 是 否 为 素数 ;如 果 #EE 不 为 素数 ,或 者 #EE=p, 又 或 者 小 于 
安全 需要 , 则 转 到 (1)。 

(7) 输出 基点 (zx6 ye) = (n,n). 


3345 安全 椭圆 曲线 的 产生 


下 面 我 们 将 分 别 介绍 基于 有 限 域 F, FF on 的 椭圆 曲线 产生 过 程 。 


1. 产生 基于 有 限 域 F, 的 椭圆 曲线 方程 
FARER F, 的 椭圆 曲线 E: y? =r +axr+b(mod p),a.b€ F,, A= 4a +27 F 
OCmod p), H F ANSI X9. 62 推荐 p 为 不 少 于 160 位 的 素数 ;为 了 使 每 次 产生 的 椭圆 曲线 
方程 都 不 一 样 , 引 入 一 个 随机 比特 串 Random. Seed. 同时 再 引入 一 个 单 向 哈 希 函数 
SHA-1。 另 外 ,在 p 确定 的 情况 下 ,我 们 设 1=[log p ls LG—1/160]:v—1:— 1605, I 
中 ,t 可 以 理解 为 p 的 二 进 制 串 的 长 度 或 长 度 减 1,s 为 p 有 多 少 个 整 160 位 长 度 ,v 为 p 的 
串 长 度 除 以 160 后 的 余 量 。 
下 面 给 出 产生 椭圆 曲线 的 算法 : 
CD 输入 一 个 大 于 160 位 的 素数 ps 
(2) 随机 产生 一 个 长 度 为 g 位 的 比特 串 Random_Seed. g>160; 
(3) 计算 H=SHA-1(Random_Seed) ,并 把 H 的 最 右边 v RHA cos 
(A) 把 co 最 左边 一 位 (第 vv 位 ) 设 置 为 0, 把 修改 后 co 的 值 赋 给 Wo CW 一 co), 以 确 
f£ rb 
(5) 把 g 位 的 Random Seed 转换 成 整数 ,并 记 为 =; 
(6) 执行 以 下 循环 : 
fori =1 tos 
{ 
si=(z+i)mod 2* ; 
W,;—SHA-1G;) >Æ s, 作为 比特 串 看 待 */ 
} 
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(7) 把 Wo Wise WoW, 串联 成 W: WSW, || Wi || I] W- dl Ws 
(8) JE W FHRON REC E s 

(9) 如 果 r=0 BK 4r4- 27 —0mod p, 则 跳 回 步骤 (1); 

(10) 随机 选择 a,5,a,5EF, 且 a.b 不 同时 为 0, 并 要 求 rb? =a° mod p; 
(11) 输出 (Random_Seed,a,p) 。 


2. 产生 基于 有 限 域 Fy 的 椭圆 曲线 方程 

基于 有 限 域 F,(q 王 2") 的 椭圆 曲线 正 : 吧 十 zy 一 妇 十 oz 十 (modd),aoEF。 与 基于 
ARE F, 的 椭圆 曲线 类 似 , 我 们 选取 m 为 不 少 于 160 位 的 素数 ,并 引入 一 个 随机 比特 串 
Random. Seed 和 一 个 单 向 哈 希 函数 SHA-1。 而 在 q 确定 的 情况 下 , 设 s=LGn—1)/160], 
v=m— 160s, HEP 2 表示 为 m 的 二 进 制 串 的 长 度 ,* 为 a 有 多 少 个 整 160 位 长 度 ,v 为 g 的 
串 长 度 除 以 160 后 的 余 量 。 

下 面 给 出 产生 椭圆 曲线 的 算法 : 

CD 输入 一 个 大 于 160 位 的 素数 ms 

(2) 随机 产生 一 个 长 度 为 g 位 的 比特 串 Random_Seed,g>160; 

(3) 计算 H=SHA-1(Random_Seed) ,并 把 H 的 最 右边 v 位 赋 给 bo; 

(4) 把 g 位 的 Random_Seed 转换 成 整数 ,并 记 为 z; 

(5) 执行 以 下 循环 : 


fori =1 tos 
{ 
5; = (z+i) mod 2* ; 
b,=SHA-1(s;) /* Æ s 作为 比特 串 看 待 * / 
} 
(6) dl bo obi bia b, 串联 成 2: b=b || dy Ee I b- dos 
(7) 如 果 5 二 0, 则 跳 回 步骤 (1); 
(8) 随机 选择 一 个 a; 
(9) 输出 (Random_Seed,a,05)。 
最 后 说 明 一 点 ,随机 产生 在 F, 上 的 椭圆 曲线 算法 中 的 x 是 与 群 同 态 的 概 仿 有关; 同样 ， 
随机 产生 在 Fm 上 的 椭圆 曲线 算法 中 的 5 也 是 与 群 同 态 的 概念 有 关 。 


3.3.5 其 于 椭圆 曲线 的 密码 体制 


对 椭圆 曲线 及 其 算法 有 了 基本 了 解 后 ,本 节 将 对 基于 有 限 域 求解 离散 对 数 问 题 的 
Diffie-Hellman 密 钥 交 换 .ElGamal 密码 体制 和 DSA 密码 体制 ,分 别 用 椭圆 曲线 来 实现 其 
密码 体制 。 


3351 基于 椭圆 曲线 的 Difie-Heliman 密 钥 交 换 
图 3. 3.2 给 出 了 Diffie-Hellman 密 钥 交 换 过 程 及 算法 验证 。 首 先 用 前 述 的 方法 把 椭圆 
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曲线 及 各 参数 产生 ,包括 椭圆 曲线 方程 E, Cab) IER G、 基 点 的 阶 等 ,然后 把 E, Ca 000 
GRH: 


用 户 4 HPB 
(1) 选择 ny, VE P, —n4G (1) 选择 ng, 计算 P=ngpG 
Q) 发 送 P, a Q) 发 送 Py 
(3) 计算 Kpubiic 704 Pp (3) F K public —n5P, 
=n; nG =ngn4G 


图 3.3.2 基于 椭圆 曲线 的 Diffie-Hellman 密 钥 交 换 


用 户 A 和 B 之 间 的 密 钥 交换 过 程 描述 如 下 : 

COD A 选择 一 个 小 于 的 整数 na (na € [1,n 一 1]) 作 为 其 私 钥 ,计算 Pa =naG 并 把 Pa 
作为 其 公 钥 ; 

(2) 同样 地 ,B 选择 一 个 小 于 n 的 整数 ns(ns€E[L1,n 一 1]) 作 为 其 私 钥 ,计算 Ps 二 nsG 
并 把 Ps 作为 其 公 钥 ; 

(3) A MB 分 别 由 天 we 一 zaPae AK posie ngP a 产生 双方 的 共享 密 钥 K puvi o 

算法 验证 : 

FAP! A: K pubic =naP s =nanpG 

FAP Bi Kou. ngP a =nanpG 
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44 Diffie-Hellman 密 钥 交换 的 实现 类 似 , 首 先生 成 椭圆 曲线 方程 E, Ca 0) ,基点 G, 基 点 
的 阶 交 等 ,然后 把 E, (ab FIG 公开。 
图 3. 3. 3 为 基于 椭圆 曲线 的 EIGamal 加 /解密 过 程 , 其 加 /解密 过 程 描述 如 下 。 


1. 参数 初始 化 

CD 将 待 加 密 信息 mx 通过 编码 嵌入 到 椭圆 曲线 上 的 一 点 P。; 
(2) FAP! A 随机 选择 一 个 整数 na Gu € [1.5 1D: 

(3) 计算 Pa=naG 并 把 P。 作为 其 公 钥 公 布 。 


2. 加 密 过 程 

CO SHP B 要 向 A 发 送 消息 已。, 则 随机 选择 一 个 整数 ns (Oi € [125 15 
(2) 计算 点 Pi 一 ngsG 和 Ps 一 P。 十 ngPa; 

G) 将 密 文 M 二 {Pi ,P;}) 发 送 给 A. 

3. 解密 过 程 

CD AAP A 接收 到 密 文 M 后 , 作 如 下 运算 : P, 二 Ps 一 naP1, 即 可 得 到 Pas 
(2) 对 经 过 编码 处 理 的 点 Ph 进行 译 码 ,从 而 得 到 明文 m, 
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HP B 用 户 4 


读 取 ECC 各 参数 并 获 


得 用 户 4 的 公 钥 P rc 接收 到 密 文 M (PP, 


利用 平方 剩余 定理 将 


明文 m NEIER Py 计算 P, =P, 
x i ! 
计算 P,-njP, ISI P,—P,18 P, 
i 


计算 P7 P, eng P, 
并 把 密 文 M (P, P3) 
送 给 用 户 4 
z 


1 
将 Pm 进行 译 码 
得 到 明文 m 


图 3.3.3 基于 椭圆 曲线 的 ElGamal 加 ( 解 ) 密 过 程 
4. 算法 证 明 
P; — P, = (Pa +nsP a) —na(nsG) = P, +ns(naG)—na(nsG) = P, 
3353 基于 椭圆 曲线 的 DSA(ECDSA) 签 名 算法 


同样 地 ,首先 按 上 节 介 绍 的 方法 产生 曲线 方程 及 其 他 相关 参数 ,下 面 对 基 于 椭圆 曲线 的 
DSA(ECDSA) 的 数字 签名 进行 描述 ,如 图 3. 3.4 所 示 。 


消息 消息 


SHA-1 SHA-1 


ECDSA ECDSA 
== = 


ESI S sira K—3À 
gy BEE ma RIE Ti 
签名 的 签名 

Vv 
签名 是 否 有 效 
(a) 签名 过 程 (b) 验证 过 程 


图 3.3.4 Diffie-Hellman 密 钥 交换 


假设 用 户 A 要 对 消息 m 签名 ,由 用 户 B 验证 其 签名 的 有 效 性 。 


1. 参数 初始 化 

(1) 选择 一 个 大 素数 p p 2" ; 

(2) 选择 一 条 椭圆 曲线 方程 E: y! =r Fax b. 4a? 3-270 7-0 mod p; 
(3) 确定 一 个 有 限 域 F,; 

(4) fS zE HL MAR AS FF E pt+1—2/p<#E(PF,)<p+14+2Vp; 
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(5) 计算 生成 点 G, 其 序 为 n; 

(6) 选 定 一 个 单 向 哈 希 函数 SHA-1; 

(7) 选取 一 个 na ,na E[1,n 一 1] 作 为 私 钥 ; 
(8) 计算 公 钥 Q—n4G s 

(9) 公布 参数 p.E.G.n.F,.SHA-1 f Q. 


2. 签名 过 程 

CD 选择 一 个 k,kE[1,n 一 1]; 

(2) 计算 kG= Gri «ys 

(3) 计算 r=zmodn; 如 果 ==0, 则 返回 步骤 (1); 

(4) 计算 ko! mod n; 

(5) 计算 e=SHA-1Gn); 

(6) 计算 s— ^! Ced- nar) mod n; WE s— 0 UGE [8] 2E 9E CDD ; 
(7) 产生 对 消息 m 的 签名 {r,s); 

8) 把 {m,r,s} 发 送 给 用 户 B. 

3. 认证 过 程 

CD 检查 r,sE[1,n 一 1] 是 否 成 立 ; 如 果 成 立 , 则 继续 下 一 步骤 ,否则 ,签名 无 效 ; 
(2) 计算 e=SHA-1(m); 

(3) 计算 w=s mod n; 

(4) 计算 ww 二 eww mod nsus — rw mod n; 

O) 计算 点 X Gn «y — Go uw Q. WR X=O, WEY FB, 
(6) 计算 v=21mod n; 

(7) 如 果 v==r, 则 签名 有 效 ,否则 无 效 。 


4. 算法 验证 
由 签名 过 程 可 知 ,如 果 签 名 {r,s) 是 消息 m 的 合法 签名 , 则 有 s=A Cet nar) mod n, dX 
此 ,我 们 要 证 明 上 述 等 式 是 否 成 立 。 
WEBB. s—h ! Cet nar) mod n 
Sk = s Ce-- nar) mod n 
Sk = (s le--s!nar)mod n 
Sk = (we + wna4r)mod n (Ħ w = s! mod n) 
Sk = (u, + usn) mod n (Ħ u, = rw mod n.u; = rw mod n) 
RG = ( + usnA)G mod n 
ORG = uG + usQ mod n (H Q = n4G) 
因为 kG 的 横 坐 标 xi 二 r;wG 十 uzQ 的 横 坐 标 为 zı =v 
所 以 有 v 一 ~。 
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3.3.6 椭圆 曲线 的 性 能 及 安全 性 分 析 


336.1 性 能 分 析 


公 钥 密码 体制 的 有 效 性 主要 考虑 3 个 因素 : 计算 开销 ; @ 密 钥 长 度 ; @@ 通 信 传 输 量 
(带宽 ) 。 在 对 不 同 密码 系统 之 间 进 行 有 效 性 比较 时 ,应 基于 相同 的 安全 等 级 。 下 面 我 们 将 
就 上 述 3 个 因素 对 椭圆 曲线 密码 体制 的 性 能 与 其 他 密码 系统 进行 比较 。 

(1) 计算 开销 

计算 开销 是 指 变 换 公 钥 和 私 钥 所 需 的 计算 量 。 对 于 RSA 和 基于 ECC 的 椭圆 曲线 数字 
签名 算法 (ECDSA) 或 椭圆 曲线 加 密 方案 (ECES) ,大 部 分 数字 签名 和 加 密 变 换 操作 都 可 以 
进行 预计 算 。 在 相同 的 测试 环境 下 ,在 163 位 ECC/1024 位 RSA 安全 级 数 下 ,ECC-163 的 
计算 开销 比 RSA-1024 大 5~15 倍 。 在 256 位 ECC/3072 位 RSA 安全 级 数 下 ,ECC-256 与 
RSA-3072 的 计算 开销 比率 已 增加 到 20 一 60 4809772, qj ECC-521 则 比 RSA-15360 tk 
400 倍 。 表 3.3. 2 给 出 了 在 相同 测试 环境 下 ECC 与 RSA 计算 开销 的 比较 。 


表 3.3.2 相同 测试 环境 下 ECC 与 RSA 计算 开销 的 比较 毫秒 

CPU/MHz ECC-163 位 ECC-192 位 RSA-1024-d RSA-1024-e 
450 6.1 8.7 32.1 1.7 
400 22.9 37.7 188.7 10.8 


(2) 存储 空间 
密 钥 长 度 决定 存储 密 钥 对 和 系统 参数 所 需要 的 比特 数 。 与 RSA/DSA 相 比 ,ECC 只 需 
使 用 更 小 的 系统 参数 即 可 达到 同等 的 安全 级 数 55 ( 见 表 3. 3. 3) ,其 密 钥 存储 空间 非常 小 。 


表 3.3.3 ECC,DSA 和 RSA 系统 参数 和 密 钥 长 度 的 比较 


算法 系统 参数 /bits 公 钥 /bits 私 钥 /bits 
ECC 481 161 160 
DSA 2208 1024 160 
RSA = 1088 2048 


(3) 通信 传输 量 

通信 传输 量 是 指 发 送 一 条 加 密 消息 或 一 条 签名 信息 所 需 传输 的 比特 数 。 在 公 钥 密码 系 
统 中 ,双方 在 进行 通信 之 前 ,必须 先进 行 密 钥 交换 或 对 长 消息 进行 数字 签名 ,此 过 程 是 短 消 
息 传输 的 。 实 验证 明 , 虽然 在 传输 长 信息 时 ECC 的 传输 量 与 RSA 的 传输 量 相 当 , 但 在 传 
送 短 消息 时 ,ECC 的 通信 传输 量 却 比 RSA 低 很 多 , 见 表 3. 3. 4。 


表 3.3.4 ECC.DSA 和 RSA 3 种 算法 签名 长 度 和 加 密 后 的 密 文 长 度 的 比较 


算法 签名 长 度 /bits 密 文大 小 /bits 
ECC 320 321 
DSA 320 2048 


RSA 1024 1024 
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3362 安全 性 分 析 


虽然 椭圆 曲线 点 运算 的 概念 是 很 容易 理解 的 ,但 在 实现 椭圆 曲线 密码 时 有 许多 关键 性 
的 问题 需要 解决 ,其 中 主要 包括 两 个 方面 : 一 是 如 何 选取 合适 的 符合 安全 条 件 的 随机 椭圆 
曲线 ;二 是 如 何 快速 实现 椭圆 曲线 密码 。 合 适 的 椭圆 曲线 参数 一 旦 产生 就 可 以 形成 椭圆 曲 
线 群 ,能 够 提供 给 多 个 用 户 使 用 ,生成 其 公 钥 、 私 钥 对 。 加 密 算 法 的 安全 性 能 一 般 通 过 该 算 
法 的 抗 攻击 强度 来 反映 。ECC 和 其 他 几 种 公 钥 系统 相 比 ,其 抗 攻击 性 具有 绝对 的 优势 。 以 
当前 应 用 较为 广泛 的 公 钥 系 统 RSA 为 例 ,RSA 方法 的 优点 主要 在 于 原理 简单 ,易于 使 用 。 
但 是 , 随 着 整数 因子 分 解 方 法 的 不 断 完善 .计算 机 速度 的 提高 以 及 计算 机 网 络 的 发 展 ,作为 
RSA 加 解密 安全 保障 的 大 整数 要 求 越 来 越 大 。 要 保证 RSA 使 用 的 安全 性 ,就 要 相应 地 增 
加 其 密 钥 的 位 数 ,目前 一 般 认为 RSA 需要 1024 位 以 上 的 字 长 才 有 安全 保障 。 但 是 , 密 钥 长 
度 的 增加 导致 了 其 加 解密 的 速度 大 为 降低 ,硬件 实现 也 变 得 越 来 越 困难 ,这 对 使 用 RSA 的 
应 用 带 来 了 很 重 的 负担 ,从 而 使 得 其 应 用 范围 越 来 越 受 到 制约 。 而 椭圆 曲线 则 具有 较 短 的 
密 钥 长 度 , 例 如 160 位 ECC 与 1024 位 RSA、DSA 具有 相同 的 安全 强度 ,210 位 ECC 则 与 
2048 位 的 RSA,DSA 具有 相同 的 安全 强度 ,这 就 意味 着 ECC 对 带宽 的 要 求 更 低 , 所 占有 的 
存储 空间 更 小 。 

现 有 已 知 求解 ECDLP 的 著名 算法 有 : 穷 举 搜索 法 、 大 步 小 步 算法 、Pollard’s Rho $$ 
ik Jf f Pollard! s Rho 算法 等 ,它们 的 难度 都 是 指数 级 的 , 见 表 3. 3. 5。 而 以 往 基 于 模 运 算 
的 大 整数 因 式 分 解 问题 (IFP) 和 离散 对 数 问题 (DLP) 都 只 是 存在 亚 指数 时 间 复 杂 度 的 通用 
算法 。 正 是 由 于 ECC 算法 所 存在 这 一 明显 不 同 , 使 得 ECC 算法 的 单位 安全 强度 高 于 其 他 
(如 RSA) 算 法 ,也 就 是 说 ,在 达到 同样 安全 强度 的 情况 下 ,ECC 算法 所 需 的 密 钥 长 度 远 比 
RSA 算法 要 低 。 并 且 , 随 着 安全 级 数 的 提高 ,RSA 密 钥 长 度 的 增长 速度 远 远 快 于 ECC 密 钥 
长 度 的 增长 , 见 表 3. 3. 6。 


表 3.3.5 各 种 ECDLP 算法 与 RSA 算法 时 间 复 杂 度 比较 


算 法 时 间 复 杂 度 
穷 举 搜索 法 Oln) 
Pollard’s Rho 算法 Ox2/n) 
Jf íT Pollard's Rho 算法 OC zn /2m) 
大 步 小 步 算法 OWn) 
RSA OCexp C A/ (Inpoln(Inp) )) 


35€ 3.3.6 相同 安全 级 别 下 ECC 5 RSA 密 钥 长 度 比 较 


ECC 密 钥 长 度 RSA 密 钥 长 度 ECC 与 RSA 密 钥 长 度 比 
106 512 1:5 
163 1024 1:6 
233 2048 1:9 
283 3072 1:11 
409 7680 1:19 
1 


517 15 360 
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通过 以 上 分 析 可 以 看 出 ,在 相同 的 安全 条 件 下 , ECC 的 密 钥 尺寸 要 远 远 小 于 RSA/ 
DSA ,同时 , 随 着 密 钥 长 度 的 增加 ,ECC 的 安全 性 要 比 RSA/DSA 的 安全 性 增加 快 得 多 , 因 
此 ECC 具有 更 高 的 安全 强度 。 随 着 在 有 限 域 上 的 离散 对 数 问题 和 因子 分 解 上 不 断 取 得 进 
展 ,为 了 达到 安全 要 求 , 大 多 数 公 钥 密码 体制 的 密 钥 也 越 来 越 大 。 椭 圆 曲 线 密 码 体制 相对 于 
其 他 公 钥 密码 体制 具有 密 钥 长 度 短 .运算 速度 快 . 计 算数 据 量 小 等 特点 ,因而 ECC 已 成 为 已 
知 的 效率 最 高 的 公 钥 密码 系统 。 


34 基于 ECC 的 群体 导向 (tm 门限 人 签名 方案 


群体 签名 ,又 称 为 团体 签名 (group signature) ,是 面向 群体 密码 学 中 的 一 个 研究 内 容 ， 
相对 其 他 特殊 用 途 的 数字 签名 而 言 , 群 签名 的 概念 是 密码 学 中 较 新 的 概念 ,到 目前 为 止 ,对 
它 的 研究 已 经 有 十 几 年 的 历史 了 。 在 此 期 间 , 群 数字 签名 在 不 断 地 完善 ,不 断 地 向 实用 的 方 
向 进步 。 本 节 将 首先 对 群体 签名 和 群体 (1,n) 门 限 签名 进行 较 详细 的 说 明 , 然 后 对 Harn) 
于 1994 年 提出 的 基于 离散 对 数 的 群体 导向 (1,n) 门 限 数字 签名 方案 进行 曾 述 ,最 后 提出 一 
个 改善 了 Harn 方案 思想 、 基 于 椭圆 曲线 密码 体制 的 群体 导向 (1,n) 门 限 数字 签名 方案 。 


3.4.1 群体 签名 与 (1,n) 门 限 签名 


1. 群 签名 的 定义 

群 签名 方案 的 概念 由 Chaum 与 Heyst! 于 1991 年 首先 在 “Group Signatures” 一 文中 
提出 。 他 们 在 文章 中 给 出 了 群 签名 所 必须 具有 的 性 质 : 

CD 任何 成 员 都 能 够 代表 群 进行 签名 ; 

(2) 签名 的 接收 者 可 以 验证 签名 是 否 为 该 群 的 成 员 所 产生 的 合法 签名 ,但 是 接收 者 不 
能 从 签名 中 恢复 原始 签名 者 的 身份 ,也 无 法 判断 两 个 群 签名 是 否 是 由 同一 个 群 成 员 提交 的 ; 

(3) 在 产生 纠纷 的 情况 下 ,被 指定 的 可 信和 密 钥 认证 中 心 (trusted key authentication 
center. KAC) 能 够 打开 群 签名 ,以 便 揭 示 签 名 者 的 身份 。 

显然 , 群 签名 方案 提供 了 数字 签名 的 匿名 性 ,这 种 特性 对 某 些 实 际 应 用 是 必需 的 。 
Chaum 与 Heyst 所 提出 的 方案 及 其 在 文中 阐述 的 内 容 , 给 群体 签名 的 研究 提供 了 许多 启 
发 ,如 从 群 签名 建立 的 数学 基础 . 群 签 名 的 组 成 部 分 、 群 签名 的 运行 效率 (如 公 钥 的 大 小 、 计 
算 量 和 通信 和 量 ) 等 方面 对 群 签名 进行 研究 与 发 展 ,以 后 Lee, Chang, Tseng fl Jan 45 AT 


提出 了 各 种 新 的 群体 签名 方案 。 
群 签名 概念 的 提出 ,使 得 数字 签名 的 应 用 前 景 进一步 拓宽 ,为 网 络 信息 安全 提供 新 的 技 
术 支 持 。 


2. 群 签名 的 安全 性 和 效率 要 求 

一 个 好 的 群 签名 方案 应 满足 如 下 安全 性 要 求 : 

CD 不 可 伪造 性 Cunforgeability) : 只 有 群 成 员 能 够 代表 群 进行 签名 ; 

(2) 匿名 性 (anonymous) : 给 定 一 个 群 签名 , 除 KAC 之 外 ,任何 人 想 识 别 签名 者 的 身份 
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都 是 计算 困难 的 ; 

(3) 不 关联 性 (unlinkability) : BR KAC 之 外 ,判断 两 个 不 同 的 群 签名 是 否 是 由 同一 个 
群 成 员 提交 是 困难 的 ; 

(4) 不 可 替代 性 (exculpability) : 任何 一 个 群 成 员 与 KAC 都 不 能 代表 其 他 群 成 员 进 行 
签名 ; 

(5) 可 跟踪 性 (traceability): KAC 能 够 打开 一 个 有 效 的 群 签名 ,以 揭示 签名 者 的 身份 ， 
并 且 任 何 签名 者 都 不 能 阻碍 一 个 有 效 群 签名 的 打开 ; 

(6) 抗 联合 攻击 (coalition-resistance): 群 中 一 部 分 成 员 串通 在 一 起 也 不 能 产生 一 个 合 
法 的 不 能 被 跟踪 的 群 签 名 [9 。 

而 一 个 群 签名 方案 的 效率 主要 依赖 于 以 下 几 个 方面 : 

COD 群 公 钥 的 大 小 ; 

(2) 群 签 名 的 长 度 ; 

(3) 群 签 名 算法 和 验证 算法 的 效率 ; 

(4) 创建 算法 ,注册 协议 以 及 打开 算法 的 效率 。 

综合 上 述 对 群体 签名 的 介绍 ,高 效 、 实 用 的 群 签名 方案 应 该 满足 如 下 要 求 ; 

(1) 群 组 的 公开 钥 的 大 小 不 依赖 于 群 组 成 员 的 多 少 ; 

(2) 和 群 签名 的 长 度 不 依赖 于 群 组 成 员 的 多 少 ; 

(3) 群 组 中 成 员 的 变化 不 用 重新 建立 系统 ,或 者 不 用 重新 给 各 成 员 颁 布 新 的 签名 密 钥 
和 和 群 组 的 公开 钥 ， 

(4) 签名 的 大 小 要 尽 可 能 地 小 ,签名 的 运算 、 签 名 的 验证 尽 可 能 简单 ; 

(5) KAC 与 群 成 员 之 间 的 通信 成 本 要 小 。 


3. 门限 签名 

1988 年 ,Desmedt 在 其 发 表 的 文章 中 提出 了 (to 门限 签名 [ 轨 的 概念 。 门 限 签名 司 一 5 
是 建立 在 基于 群体 签名 的 基础 上 ,但 与 群 签 名 不 同 的 是 ,其 主要 思想 是 基于 秘密 共享 5 。 
设 有 nn 个 人 参与 一 个 秘密 共享 方案 ,我 们 把 秘密 分 成 n 部 分 ,每 部 分 称 为 它 的 影子 
(Cshadow) 或 子 密 钥 ,分 发 给 每 个 参与 成 员 一 个 与 其 他 人 不 同 的 影子 ,它们 中 的 任何 上 部 分 都 
能 够 用 来 重 构 秘 密 , 而 任意 不 足 :个 参与 者 的 子 密 钥 凑 在 一 起 不 能 确定 秘密 , 亦 即 不 能 产生 
正确 的 群体 签名 。 通 常 称 这 种 形式 的 签名 为 (t,z) 门 限 签名 ,其 中 上 就 是 所 谓 的 门限 值 。 

(1,n) 门 限 签 名 有 具有 如 下 5 种 属性 : 

CD 群 内 不 少 于 上 位 成 员 合作 才能 产生 群体 签名 ; 

(2) 群体 签名 的 大 小 和 验证 时 间 与 单个 子 密 钥 的 大 小 和 验证 时 间 一 样 ; 

(3) 签名 的 验证 变 得 很 简单 ,因为 只 需要 一 个 群体 公 钥 即 可 完成 ; 

(4) 群体 签名 可 以 被 任何 一 位 群体 外 的 成 员 验 证 ; 

(5) 群体 负责 对 信息 进行 签名 。 

从 门限 签名 的 特性 容易 看 到 ,如 果 门 限 签 名 中 的 上 个 (或 者 以 上 ) 成 员 被 攻破 ,那么 门限 
签名 的 安全 性 荡然 无 存 ,所 以 形象 地 称 1 为 门限 值 。 另 外 , 按 子 密 钥 发 放 方式 的 不 同 ,可 将 
门限 群 签名 方案 分 成 带 可 信和 密 钥 认证 中 心 (KAC) 的 门限 群 签名 方案 与 分 布 式 门限 群 签名 
( 即 没 有 KAC BUILD 9799 7; dE 3I 
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一 个 好 的 门限 群 签名 方案 应 该 具有 如 下 8 个 特性 : 

(1) 群 特性 : 只 有 群体 的 成 员 才 能 作 自 己 的 部 分 签名 ,其 他 人 无 法 伪造 部 分 签名 ; 

(2) 门限 特性 : 只 有 作 部 分 签名 的 人 数 超过 门限 值 时 ,门限 群 签名 才 会 产生 ; 

(3) 验证 简单 性 : 签名 的 验证 者 验证 签名 时 只 需 知 道 群体 的 公 钥 ; 

(4) 匿名 性 : 签名 的 验证 者 无 法 知道 哪些 成 员 作 了 哪 部 分 签名 ; 

(5) 可 追查 性 : 事后 可 以 追查 出 哪些 成 员 作 了 部 分 签名 ; 

(6) 不 可 冒充 性 : 任何 成 员 集合 不 能 冒充 另 一 个 成 员 集 合作 门限 群 签名 ; 

(7) 强壮 性 : 恶意 成 员 达 到 或 超过 门限 值 仍 无 法 知道 系统 的 秘密 参数 ; 

(8) 稳定 性 : 删除 或 加 入 成 员 时 ,系统 参数 不 需要 作 大 的 修改 。 

门限 签名 的 实现 方法 使 得 签名 所 使 用 的 秘密 参数 通过 秘密 分 享 算法 分 配给 多 个 人 保 
管 ,需要 的 时 候 有 多 个 人 一 起 进行 签名 。 这 在 某 种 程度 上 减 小 了 秘密 值 泄露 的 可 能 性 ,但 是 
最 终 还 是 不 能 彻底 杜绝 泄露 的 发 生 。 于 是 ,如 何 减 小 秘密 泄露 后 的 损失 以 及 如 何 设计 一 个 
好 的 门限 群 签名 方案 是 一 个 很 值得 研究 的 问题 。 


3.4.2 Harn(t,n) 门 限 数字 签名 方案 


Desmedt 和 Frankel"! #2 i IEF RSA 体制 的 群体 导向 签名 法 ,而 后 于 1994, Harn 对 
ElGamal 密码 体制 进行 修改 ,把 Lagrange 内 插 多 项 式 方法 与 EIGamal 安全 机 制 相 结合 , 提 
出 了 一 个 群体 导向 (zz 门限 数字 签名 方案 ,系统 的 安全 则 建立 在 解 离散 对 数 问题 CDLP) 的 
困难 度 上 [9 。 

Harn 针对 (1,n) 群 体 导 向 门限 数字 签名 方案 提出 了 两 种 方法 ,第 1 种 方法 是 假设 系统 
存在 一 个 可 信和 密 钥 认证 中 心 (KAC) ,专门 负责 选择 系统 参数 及 计算 ,并 分 配 个 别 密 钥 给 每 
一 位 参与 者 ;第 2 种 方法 则 取消 了 KAC HH OE FH B SEA IERI 77 109, 
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Harn 所 提出 的 这 种 方法 ,是 利用 Shamir” 的 秘密 共享 和 Lagrange 搬 值 多 项 式 以 及 
NIST55 中 所 提出 的 数字 签名 算法 实现 的 ,其 方案 的 实现 过 程 如 下 : 


1. 参数 初始 化 

首先 由 KAC 选 定 如 下 参数 : 

(1) 选择 一 个 大 素数 p 作为 模 , 目 221 — p 27, 

(2) 选择 一 个 可 以 被 p 一 1 整除 的 素数 q, 且 27 <q<2'; 

(3) 随机 选择 一 个 整数 x; ,0 二 z; 二 gq 一 1 和 一 条 多 项 式 : 

f(x) =aotarzrt++anzr (modg), i=0,1,.,t—1; 

COD EARR F, 中 选择 一 个 阶 为 q 的 生成 数 a a — h^ mod ps P h,O<h<p—1 

为 一 个 随机 整数 ,所 以 有 h”* "mod p> 1. 


2. 群体 和 群体 成 员 公 / 私 钥 产 生 过 程 
CD 由 KAC 选 定 群体 私 钥 为 fO); 
(2) KAC 选 定 每 位 群体 成 员 的 私 钥 为 f Cr) mod q» i 二 1,2,… sn; 
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G) 由 KAC 计算 出 群体 公 钥 y=” mod ps 
(4) 为 了 用 于 数字 签名 的 验证 ,KAC 还 需要 计算 出 每 位 群体 成 员 的 个 人 公 钥 y = 


al mod p. 


3. (1,n) 门 限 签名 产生 过 程 

假设 群体 中 有 任意 ua ,we tt eus 位 成 员 要 对 消息 m 签名 , 则 签名 过 程 描述 如 下 : 

(1) 群体 中 每 位 成 员 usi 1.2. t 随机 选择 一 个 整数 k;[1,g 一 1], 计 算 个 人 公 钥 
r; —a* mod p, 并 通过 广播 信道 把 x; 公开 ; 

(2) 当 某 位 成 员 把 所 有 的 r 都 收 好 后 ,计算 : 


r= [[rmod p (3.4.1) 


(3) 成 员 u 使 用 其 个 人 私 钥 f(z,) 和 计算 出 对 消息 进行 签名 {r vs}。 其 中 心 ,0 二 
5 过 q 一 1 为 整数 ,其 值 由 下 述 方程 式 确定 ， 


s; = f(r) fin + ( II z) ki © r mod p (3. 4. 2) 


j= pei ti 7 Tj 
最 后 ,ui 把 签名 {x;,s;) 发 送 给 指定 的 办 事 员 (clerk); 
(4) 办 事 员 在 收 到 所 有 群体 成 员 的 签名 {rx;,s;} 后 ,通过 下 式 : 
for narmodp (3.4.3) 


对 每 位 成 员 的 个 人 签名 {ri,s;} 的 真 伪 性 进行 验证 。 如 果 所 有 的 签名 {7;,s;) 都 为 真 , 则 计算 : 
s= p mod p (3.4.4) 
最 后 得 出 群体 签名 {r,s)。 


4. (1,n) 门 限 签名 验证 过 程 
外 部 人 员 在 收 到 该 群体 签名 {r,s} 和 消息 m 后 ,只 需要 用 下 式 对 签名 的 正确 性 进行 
验证 : 
yf" = r'a'mod p (3.4.5) 
如 果 上 式 成 立 , 则 说 明 签 名 {r,s} 有 效 。 
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由 于 在 这 种 方案 中 没有 大 家 所 信任 的 KAC 帮助 产生 所 需要 的 参数 ,因而 群体 中 的 所 
有 成 员 需 要 一 起 协商 来 产生 其 个 人 私 钥 ,并 把 其 私 钥 发 布 给 群体 内 的 其 他 成 员 。 

以 下 这 些 参 数 必须 得 到 群体 内 所 有 成 员 的 一 致 认同 ,包括 : 

(1) 一 个 大 素数 p ERR, H 2 <p<2'; 

(2) 素数 g, 它 可 以 被 p 一 1 整除 , 且 2 <q<2™; 

(3) EARE F, 中 选择 一 个 阶 为 g ERR a a =h?-? mod ps HP A.O<A<p-1 
为 一 个 随机 整数 ,所 以 有 hh”* ?了 (mod p)>1. 


1. 公 钥 产生 过 程 
(1) 群体 内 每 位 成 员 随机 选择 一 个 整数 =: 和 x; ,其 中 z; ,zx;E[1,p 一 1j; 并 把 z 作为 个 
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人 密 钥 ; 
(2) 计算 y; —a* mod p; 
(3) 结合 x; M y; RR TAB Gn yid s 
(4) 计算 出 群体 公 钥 y: 


SIE mod p (3.4.6) 


由 于 没有 KAC 帮助 ， 所 以 每 位 成 员 除 了 产生 个 人 密 钥 和 公 负 外， 还 需要 把 自己 看 作 一 
个 KAC, 操 作 过 程 如 前 述 的 (1,n 一 1) 秘 密 共 享 方案 一 样 ,并 把 个 人 的 密 钥 发 布 给 其 他 的 
n 一 1 位 成 员 。 现 在 假设 其 中 有 某 一 成 员 wi( 其 私 钥 为 x;) ,ui 随机 选择 一 条 (1 一 1) 阶 多 项 式 
fi Go FEA fi(0)= 二 xz;:mod p; 计 算 其 他 一 1 位 成 员 , 如 wj (i 关门 的 个 人 密 钥 f; (x; mod q 
和 个 人 公 钥 yi 一 ai mod p. 

2. (1,n) 门 限 签名 产生 过 程 

假设 群体 (4,n) 中 有 任意 ww eus e us 位 成 员 要 对 消息 mm 签名 ,并 且 各 自 的 签名 过 程 可 
以 同时 进行 。 下 面 对 某 位 成 员 w 的 签名 过 程 进行 描述 : 

CD 成 员 随机 选择 一 个 整数 [1,g 一 1], 并 计算 个 人 公 钥 7; 二 ahmod p, 通 过 广播 信道 
Er AF; 

(2) 当 每 位 成 员 把 所 有 的 x; 都 收 好 后 ,计算 : 


r= Il. mod p (3.4. 7) 

CD 成 员 wi 使 用 其 个 人 私 钥 z; ski Rf Go PH e tom) ,对 消息 m 进行 签名 
(risi) o Hrs oss a — 1 为 整数 ,其 值 由 下 述 方程 式 确定 : 

la+ [È fn] 人 IL 

最 后 ,wi EAE (riss 发 送 给 指定 的 办 事 员 ， 


(4) 当 办 事 员 收 到 由 成 员 wi 发 送 过 来 的 签名 {ri,s;} 和 信息 m 后 ,利用 wi WASH x, yi 
和 yj,ii(j 二 t 十 1,t 十 2,…,n), 通 过 下 式 : 


a). fn) —k = r}(modg) — (3.4.8) 


iTi 7 Te 


no 
{y (È pe id maye = rfa“ (mod p) (3.4.9) 
来 验证 其 签名 的 有 效 性 。 ME ERRE. 则 成 员 wu; 的 签名 {7;,s;} 真 实 有 效 ; 
(5) 当 办 事 员 把 1 位 成 员 的 签名 {ri,s;} 都 收 齐 并 验证 其 真实 性 后 ,办 事 员 利 用 us 的 公 
EH isy My. GHt+1.t+2.-+.n) ,通过 下 式 : 


5 一 Ss mod q (3. 4. 10) 
得 出 群体 签名 {7,s)。 


3. (Lt,n) 门 限 签名 验证 过 程 
外 部 人 员 在 收 到 该 群体 签名 {r,s} 和 消息 m 后 ,只 需要 利用 下 式 对 签名 的 正确 性 进行 
验证 : 
y/" = ra'mod p (3.4. 11) 
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如 果 上 式 成 立 , 则 说 明 群 体 签名 {r,s} 有 效 。 


3.4.3 ”基于 椭圆 曲线 密码 体制 的 (t,x) 门 限 数字 签名 方案 


本 节 将 就 上 述 Harn 所 提出 的 方案 ,在 分 别 基于 存在 KAC 协助 和 没有 KAC 协助 两 种 
情况 下 ,结合 Chen"9 方 法 ,利用 椭圆 曲线 密码 体制 分 别 将 其 实现 。 与 Harn 方案 一 样 ,我 们 
假设 有 一 个 群体 U={w eus tuu) AA m 位 成 员 。 根 据 群体 导向 (4,z) 门 限 数字 签名 方 
案 的 定义 ,群体 中 最 少 有 :+ 位 成 员 共 同 签 名 才能 作 有 效 的 群体 签名 。 下 面 将 就 上 述 这 两 种 
情况 进行 实现 描述 。 
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1. 参数 初始 化 

首先 由 KAC 负责 产生 以 下 各 参数 ， 

CD 选择 一 个 大 素数 p p>; 

(2) 选择 一 条 椭圆 曲线 方程 E. y! =r +ax+b,4a® +27 7-0 (mod p); 

(3) 确定 一 个 有 限 域 F, ,并且 F, 的 所 有 点 (zyy) 满 足 方程 ESECF,) E EU {0)， 
其 中 O 为 无 穷 远 点 ; 

(4) 确定 椭圆 曲线 的 阶 n,p 十 1 一 2Vp 夺 n 夺 p 十 1 十 2Vp; 

(5) 计算 生成 点 GEE(F,), 其 阶 为 n; 

(6) 选 定 一 个 单 向 喻 希 函 数 h(); 

CD) 选取 一 条 秘密 的 多 项 式 f(x)=a,_jizx Hax? + +a, tay (mod z),aiE 
[1,5—1].i1—0,1,-:,(—1; 

(8) 给 群体 中 所 有 成 员 分 配 个 人 私 钥 f(x;) ,并 计算 其 个 人 公 钥 w= fino * Gi E, 
Xi 为 用 户 ;(i 二 1,2,…,n) 的 公开 身份 识别 码 ; 

(9) 令 群 体 私 钥 为 fO) —a, ,并 计算 群体 公 钥 y— f0) *G; 

(10 KAC 把 上 述 参数 中 的 p,E,F,,n,G,hO,y,zisyi(i 二 1,2,…,n) 公 开 。 

2.(t,n) 门 限 签名 产生 过 程 

假设 在 群体 UU= {i ,ws，…,u} 中 有 1 位 成 员 想 合作 对 消息 mm 进行 签名 ,可 依照 如 下 步 
又 共同 产生 群体 签名 。 

CD 每 位 参与 签名 的 成 员 u 选取 一 个 随机 数 k;E[1,n 一 1], 并 计算 ri; 二 =k;，G, 同 时 把 
ri 广播 给 其 他 成 员 ; 

(2) 当 每 位 参与 者 接收 了 所 有 的 r 后 ,计算 : 


r= ( Žr; ) (mod p) (3.4.12) 
j=l 
和 
si = kie X,— f(a) ehn) [| Goa» (3. 4.13) 
j= 


于 是 得 出 对 消息 m 的 个 人 签名 {ri ,s;) ,并 把 签名 {x;,s;} 和 信息 m 发 送 给 办 事 员 。 上 式 中 的 
X, 代表 点 7 在 x 坐标 轴 上 的 值 ; 
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(3) 当 办 事 员 收 到 由 所 有 参与 签名 的 成 员 us 发 送 过 来 的 签名 {x;,s;} 和 信息 m Jer B iE 
下 式 判 别 签名 的 真 伪 : 
rtX,—sGo yh) * I m (mod n) (3.4. 14) 


j=l jai Ti j 


如 果 上 式 成 立 , 则 代表 来 自 成 员 us 的 签名 {7;,s;} 是 真实 无 误 的 。 


3.(t,n) 门 限 签名 验证 过 程 
当 办 事 员 分 别 将 上 位 参与 成 员 的 个 人 签名 收 到 并 确定 为 真实 后 ,计算 : 


t 


s= (>s) (mod m (3.4. 15) 
最 后 得 出 群体 签名 {r,s} 。 
另外 ,任何 一 位 参与 签名 的 成 员 只 要 利用 群体 公 钥 y, 并 通过 下 面 的 等 式 就 可 以 验证 群 
体 签 名 {r,s} 的 真 伪 性 : 
r* X, =s. G-E hGn) * y(mod p) (3. 4. 16) 
车 上 式 成 立 , 则 代表 该 群体 签名 是 正确 的 ,否则 {r,s) 是 无 效 的 。 
4. 定理 证 明 


定理 3.4.1 HHR nX, =s- G+y hm. ][ — Ri. 


j=1jżiTi Ti 


证 明 : 把 式 (3.4. 13) 两 边 同 时 乘 以 生成 点 G 得 : 


s G= {Ais X, = fe + hC) + Ii = Le 


jergescti — Tj 


Ss: G= (ki e G) + X,—[ f(z) *G]*AG0* I[ ——— 


jal, jai Ti Tj 


Os e G= r; e X,— yi + htm) + I -一 所 
PE 


Sr: X =s: G+y thm). [I 


j=j ti Tj 


定理 3.4.2. FIR r. X,=s*Gth(m) * y 成 立 。 
WEBB. 把 定理 3. 4. 1 中 结论 两 边 同 取 >) ,有 : 


Xt X J= Ð [t Gta hm) Il | ] 


jal jai Ti Tj 


-T 


i 


OX, +r=s+G+h(m) + 2; [feo +G- Hi =] 
i=l 


j=lj¥iTi Xj 
; = ; s. . . ; Pa) 7 — Tj 
ex,- 2n 一 (2x) G+h(m) 之 [> dL 
OX «rcs GERD «G+ 3 [fo l| —— (3.4.17) 
jergeiTi 7 Xj 


由 Lagrange 插值 公式 得 知 : f(x) = > [fen id I[ ===] 


j=l jei Ti Xj 
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于 是 我 们 有 : f(0) = M [Ar .II IL |=« 
i=1 j=l pei ti 
所 以 , 式 (3. 4. 17) 改 写 为 
X,+r=s+G+h(m)+Ge f(0) 
@r-X,=s*Gth(m)-y 
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由 于 没有 KAC 的 帮助 ,在 群体 公 钥 和 私 钥 的 产生 过 程 中 ,可 以 将 其 看 成 (n,n) 签 名 方 
案 的 形式 。 而 群体 内 所 有 成 员 必 须 自行 协调 产生 并 认同 以 下 各 参数 : 

CD 选择 一 个 大 素数 p p>; 

(2) 选择 一 条 椭圆 曲线 方程 E: y! =r +ax+b,4a* +27b°A0(mod p); 

(3) 确定 一 个 有 限 域 ,并 且 F, 为 所 有 点 (x,y) 满 足 方程 E;E(F,) 表 示 为 EU 1{0)， 
其 中 O 为 无 穷 远 点 ; 

(4) Whe HAN ZS AY Bron. p+ 1—2./p <n<p+142J/p ,并 且 n>; 

(5) 计算 生成 点 GEE(F,), 其 阶 为 n; 

(6) 选 定 一 个 单 向 喻 希 函 数 h(); 

CL) 选取 一 条 秘密 的 多 项 式 f(r) =a at! dT ausa et? + + aya tay (mod n), 
a; € [1,n—1].i—0,.1,*.t—1, 


1. 公 钥 产生 过 程 

CD. 所 有 群体 成 员 随 机 选取 一 个 整数 € [1.5 — 1]. dE * 作为 其 个 人 私 钥 ,并 且 使 
fiO) =z; (mod n) ;随机 选取 一 个 x;E[1,n 一 1] 作 为 其 公开 身份 认证 码 ; 

(2) 计算 相关 的 公 钥 y; Gi 

(3) 结合 zx 和 得 出 每 位 成 员 的 个 人 公 钥 为 {zx;,y;) , {zi} 作 为 私 钥 ; 

OD 计算 出 群体 公 钥 y: 


y = [lymodp (3. 4.18) 
i=l 


由 于 没有 KAC 的 帮助 ,所 以 每 位 成 员 除了 产生 个 人 密 钥 和 公 钥 外 ,还 需要 把 自己 看 作 
一 个 KAC, 操 作 过 程 如 前 述 的 (1,n 一 1) 秘 密 共享 方案 一 样 ,并 把 个 人 的 密 钥 发 布 给 其 他 
n 一 1 位 成 员 。 现 在 假设 其 中 有 某 一 成 员 w CHOR BIS x;) ,wu; 随机 选择 一 条 (1 一 1) 阶 多 项 式 
Fi Co) ;计算 其 他 一 1 位 成 员 , 如 wj GE D RAI ACE] f(x;) 和 个 人 公 钥 yo; fila) * Go 


2.(t,n) 门 限 签名 产生 过 程 

RERE US (u ,ws，…,u,} 中 有 4 位 成 员 想 合作 对 消息 m 进行 签名 ,可 依照 如 下 步 
又 共同 产生 群体 签名 ， 

CD 每 位 参与 签名 的 成 员 w (一 1,2,…,1) ,选取 一 个 随机 数 k;E[1,n 一 1], 并 计算 
r,—k; * G. ERE p; 广播 给 其 他 成 员 ; 

(2) 当 每 位 参与 签名 的 成 员 收 到 所 有 的 x; 后 ,计算 : 


t 


r= (Xiri) (mod p) (3.4. 19) 


i=l 
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和 


于 是 得 出 对 消息 的 个 人 签名 {7 fi ) JHRAE A (rss: 和 信息 m Rik BA BH, Hp xX, 
代表 点 7 Er 坐标 轴 上 的 值 ; 

(3) 当 办 事 员 收 到 由 所 有 参与 成 员 u 发 送 过 来 的 签名 {ri;,s;} 和 信息 m 后 ,办 事 员 利 用 
ui 的 个 人 参数 zi,y 和 yi 一 上 十 1,t 十 2,…,2, 通 过 下 式 判别 签名 的 真 伪 


(7 [9 e [X so]: (Hs uk =) hon =k + X) mod (3. 4. 20) 


hmn) * y; +hGn)+Ge [Ese] I DE ates G 4- r; * X,(mod n) 


(3.4. 21) 
如 果 上 式 成 立 , 则 代表 来 自 成 员 w 对 信息 m 的 个 人 签名 {ri,s;} 是 真实 无 误 的 。 
3.(t,n) 门 限 签名 验证 过 程 
当 办 事 员 分 别 将 上 位 参与 成 员 的 个 人 签名 收 到 并 确定 为 真实 后 ,计算 : 
s= (33s) God s) (3. 4. 22) 


最 后 得 出 群体 签名 {x,s)。 
另外 ,任意 一 位 参与 签名 的 成 员 只 要 利用 群体 公 钥 y, 并 通过 下 面 的 等 式 来 验证 群体 签 


名 {r,s) 的 真 伪 性 : 
h(m) + y = s +. G+r » X,(mod p) (3. 4. 23) 
若 上 式 成 立 , 则 代表 该 群体 签名 是 正确 的 ,否则 {r,s} 是 无 效 的 。 
4. 定理 证 明 
定理 3.4.3. HIR: 
h(m) * yi +hOm) +G.» [Ese Ii [aces + X, |/mod n) 
j= k=1 kzi Ti Tk 


成 立 。 
WEBB. 把 式 (3. 4. 20) 左 右 两 边 同时 乘 以 生成 点 G, 得 到 : 


s65 [s [356]: ( II =) ham) by x). 


j=tH k=1,kži Ti — Tk 


Cs + GER + G+ X, = ACn) + (s .G+G， [(3 se) Il sei 


j= k=1kži Ti Th 


kæli Ti Th 


Ss; Gr X, = hlm) 。 [» +6. [250 Il a=] 


Cs; «Gri; * X, = h(m) * yid hn 。 G+ [È r) TI | 


k=l hzi Ti Tk 


定理 3.4.4 HIR hOn) * ys * Gtr X, (mod p) 成 立 。 
证 明 : 把 定理 3. 4. 3 中 结论 两 边 同 取 > ), 得 : 


Xs *Gtr*X,] 
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= DY from «yt him «G+ [(32 re) I = aR ]} 


j= k=1,kžżi Ti Tk 


SG. Ès +x, . Èr 


= hím)» Dov thm «6- algen, T nam} G2 
i j= 
由 Lagrange 插值 公式 及 假设 条 件 得 知 ; 
[22 5Go]*. ] aa a 


j= 


所 以 式 (3. 4. 240 CS JJ s 


@s-Gt+reX,=h(m) + Dy ThGGD-*G* pr? 


ici j= 


es*GcreX,— hGD* br d Ahn) + Dg eG 


i=l j=itl 


Əs. G+r» X, =hm).» Sy: T hn) + Sy; 


i=l jail 


Ss*+Gt+reX,=h(m)« [9s Sia] 
= p 


@s*Gt+r-X,=h(m) + Mx» 


Ss°G+re 
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本 方案 的 安全 性 基于 椭圆 曲线 离散 对 数 问题 (ECDLP) 的 安全 性 之 上 。 下 面 将 就 本 方 
案 可 能 遭受 到 的 几 种 攻击 加 以 说 明 : 

(D ER KAC 存在 的 情况 下 , 若 攻 击 者 企图 由 群体 公 钥 > 一 (0)。G 中 求 得 群体 私 钥 
了 (0) , 则 必须 面 对 解 椭圆 曲线 离散 对 数 问题 (ECDLP) 的 困难 ,其 难度 远大 于 解 离 散 对 数 问 
题 ,在 计算 上 可 以 说 是 不 可 能 实现 的 。 

(2) 在 有 KAC 存在 的 情况 下 , 若 攻击 者 企图 由 个 人 公 钥 y= fC) * G 中 求 得 个 人 私 
钥 f Cc ,同样 要 面 对 求 顶 圆 曲线 离散 对 数 问题 (ECDLP) 的 困难 。 若 攻击 者 企图 由 多 项 式 
方程 组 : 


> 


r 一 万 (12)。y 


t 


=h X,— fla) * hGD0 *. TT 


MNAM f(a.) ERE ki, TIRA k, VETT ERRARNEXHAE 
(ECDLP) 的 困难 。 
(3) 在 有 KAC 存在 的 情况 下 ,假设 攻击 者 想 根据 判别 方程 : 


ri®e X, = si* G+ y: *hGn) * II — ti 


伪造 某 一 参与 成 员 w 对 消息 m 的 个 人 签名 {rt ,si}。 攻 击 者 首先 会 随机 选择 一 个 整数 k: E 
[1,n 一 1j, 计 算 r 二 如 *G, 并 把 x 广播 出 去 给 其 他 成 员 。 但 由 于 攻击 者 无 法 通过 求解 


(mod p) 
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ECDLP 而 求 出 成 员 u: 的 个 人 私 钥 f(xi) ,从 而 无 法 求解 出 满足 上 述 方程 的 si 值 。 

(D 在 没有 KAC 协助 的 情况 下 , 若 攻 击 者 想 冒 充 签名 ,其 在 求解 判别 式 

hin) * yi +hGn) °G.» [È sa . Il 人 | s: + G+r; * X,(modn) 

j= k=1l kzi Ti Tk 

时 同样 要 面 对 求解 ECDLP 的 问题 。 

CO 若 群体 内 某 攻击 者 在 获得 参数 h(m),G,s,r 和 yy 等 参数 后 , 想 伪造 另 一 个 群体 签 
Bakr’ s ) ,同样 要 面 对 解 椭圆 曲线 离散 对 数 问题 (ECDLP) 的 困难 。 
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本 性 能 分 析 主 要 从 计算 开销 和 通信 传输 量 两 个 方面 对 Harn 方案 与 本 文 提 出 的 方案 进 
行 比较 分 析 。 前 者 的 分 析 可 作为 系统 计算 效能 提升 的 说 明 , 后 者 则 说 明 系统 运作 时 的 通信 
带宽 ,使 系统 的 性 能 评估 更 为 具体 。 

1. 计算 开销 

在 进行 计算 开销 比较 分 析 之 前 ,首先 定义 如 下 符号 , 见 表 3.4.1. 


表 3.4.1 符号 定义 


符 号 意义 及 说 明 符 号 意义 及 说 明 

Tu 执行 单 向 喻 希 函 数 所 需 的 时 间 Twv 模 逆 元 素 运 算 所 需 的 时 间 
Tuur 模 乘 法 运算 所 需 的 时 间 Tec_wur 椭圆 曲线 乘法 运算 所 需 的 时 间 
Tow 模 除 法 运算 所 需 的 时 间 Tic App 椭圆 曲线 加 法 运算 所 需 的 时 间 
TExp 模 指 数 运算 所 需 的 时 间 


根据 文献 [95] 中 的 假设 得 知 : 


CD 对 于 模 指数 g*mod p 的 运算 ,p 是 一 个 1024 位 的 大 质数 ,k 是 一 个 160 位 随机 
整数 。 


(2) 对 于 椭圆 曲线 乘法 运算 ,计算 kG 是 对 于 所 有 的 点 PEE(CF,) 且 p 守 2% ,其 中 是 
一 个 160 位 随机 整数 。 

由 此 可 以 推 得 不 同和 运算 量 与 模 乘法 运算 量 的 相对 关系 如 下 : 

TEexp  240T mur s Tec mut ~ 29Tur s Tc App ~ 0. 12Tmu o 

Vii H8 di CR [ 96 ] I Al» Toiv ^9 Tu. » Tiv ^ [0. 8431n Cg) 4-1. 47 ] Tur 。 此 外 ,相对 于 模 数 乘 
法 , 模 数 加 法 和 模 数 减法 的 运算 量 相当 低 , 且 运算 也 快 ,对 系统 运作 时 的 执行 效率 影响 较 小 ， 
因此 其 运算 量 可 忽略 不 计 。 

Harn 方案 与 本 方案 计算 开销 的 比较 见 表 3. 4. 2 和 表 3. 4. 3。 


表 3.4.2 Han 方案 与 本 方案 的 计算 开销 比较 (有 KAC 的 协助 ) 
Br E Harn 方案 本 方案 


(3t+3) Tecc uut + (+1) Tecc_ App 
T Tw. GH D Tg 
(87, 121-88. 12) Tuu + G+) Tg 


2(t+1) Texe + (5t+ D Tuoi + 2tTy 


l EN 
人 由 条 限 签名 产生 过 程 | 4g5p4481) Tn 十 22Tw 


3Tec wu d- G-- 1) Tgc App 十 Ta 


(ten) 证 过 程 | 37 exe + Toon + Tx 721 Tu + T, 
tD IREA WUE | 3T exe + Tour Tn ML! HO | 25 (0, 12t+87. 12) Two. + Tu 


第 3 章 数字 签名 


表 3.4.3 Han 方案 与 本 方案 的 计算 开销 比较 (没有 KAC 的 协助 ) 


Br BE Harn 方案 本 方案 
(245) T, +2(+ DT, 

(to 门限 签名 “| QUAD Tee + C +042) Tur (Tn EE T, ee 

thE Ae G* +481t+ 242) Ty Ti M " 
pu t di wn FET A (1! +60. 24t-- 145. 24) Tux, + (2-2) Tn 
(to 门限 签名 “| AT exp + Gt -50 Tu +2tT 3Tsc mur - G-- 1) Tac app - Tg 
验证 过 程 2«(3t* +965t) Tuur +2tThH =~ (0. 12:4-87. 12) Tu. + Tu 

2. 通信 传输 量 


在 Harn 方案 中 ,p 的 长 度 |p| 为 512 位 ,gq 的 长 度 |g| 为 160 位 。 而 在 我 们 提出 的 基于 


椭圆 曲线 密码 体制 方案 中 ,p 和 的 长 度 |p| 和 |n| 丝 为 160 位 。 另 外 ,需要 指出 的 是 ,椭圆 
曲线 传送 一 个 点 坐标 PCz,y) 所 需要 的 传输 量 为 2p, 也 就 是 160 位 。Harn 方案 与 本 方案 的 
通信 传输 量 的 比较 见 表 3. 4. 4 和 表 3. 4. 5。 


表 3.4.4 Harn 方案 与 本 方案 的 通信 传输 量 比较 (有 KAC 的 协助 ) 


Br Be Harn 方案 本 方案 
(ts 门限 签名 产生 过 程 2| pl t lal 2|nl 
(tv 门限 签名 验证 过 程 lal Ini 


3.4.5. Harn 方案 与 本 方案 的 通信 传输 量 比较 (没有 KAC 的 协助 ) 


V B Harn 方案 本 方案 
(4,n) 门 限 签名 产生 过 程 2|pl+lal 31nl 
(29 门限 签名 验证 过 程 lal In] 


总 之 ,本 节 提 出 的 方法 是 以 椭圆 曲线 密码 体制 为 平台 架构 , 密 钥 长 度 只 需 160 位 即 可 等 


同 于 RSA 使 用 1024 位 密 钥 长 度 的 安全 性 。 在 不 降低 其 安全 性 的 前 提 下 , 密 钥 长 度 更 短 , 因 
此 可 以 使 信息 在 网 络 上 的 传输 速度 更 快 ,所 需 的 内 存 空间 也 得 以 大 幅度 降低 。 相 比 原来 的 
Harn 方法 ,其 在 安全 性 和 效能 上 都 有 显著 提高 。 


to 


w 


a 


a 
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密 钥 管理 


安全 的 组 通信 具有 广泛 的 应 用 领域 ,而 组 密 钥 管理 算法 一 直 是 安全 组 通信 研究 中 的 热 
点 问题 。 本 章 针 对 不 可 靠 . 开 放 的 组 通信 环境 下 密 钥 分 发 管理 机 制 这 一 热点 问题 进行 了 探 
讨 ,重点 对 组 密 钥 分 发 协议 的 鲁 棒 性 、 可 扩展 性 和 动态 性 这 三 方面 的 特性 进行 了 深入 而 广泛 
的 研究 。 首 先 概述 了 当前 安全 组 通信 方案 的 研究 现状 ,然后 基于 信息 箭 的 基本 概念 ,形式 化 
地 定义 和 描述 了 B-GKDS,S-GKDS 和 S-GKDS-TL 这 3 种 组 密 钥 分 发 协议 的 模型 ,安全 和 
性 能 分 析 证 明 ,协议 能 够 有 效 地 保证 组 密 钥 的 前 向 /后 向 隐私 性 , 抗 同 谋 破 解 和 组 机 密 性 。 
结合 具体 应 用 网 络 环境 的 特点 ,如 无 线 网 络 .移动 网 络 (NEMO 网 ) 和 无 线 传 感 器 网 络 ,分 别 
探讨 了 S-GKDS 协议 和 S-GKDS-TL 协议 在 这 些 具体 网 络 环境 中 的 应 用 问题 ,着重 分 析 协 
议 在 这 些 具体 网 络 中 的 安全 性 .可 扩展 性 和 动态 稳定 性 。 最 后 ,对 无 线 传感器 网 络 中 典型 的 
密 钥 管理 方案 进行 研究 ,给 出 这 些 方案 的 综合 分 析 和 所 需 解决 的 问题 。 


41 研究 背景 


在 数据 网 络 传输 过 程 中 ,可 以 通过 加 密 / 解 密 机 制 对 数据 进行 保护 ,以 满足 传输 过 程 中 
数据 的 私有 性 (privacy) BL TE (confidentiality) 完整 性 (integrity) 的 要 求 。 数 据 发 送 方 和 
接收 方 掌 握 相 应 的 加 密 /解密 密 钥 。 发 送 方 在 发 送 数据 之 前 ,首先 用 加 密 密 钥 对 原始 数据 
(明文 ) 进 行 加 密 , 然 后 将 密 文通 过 网 络 发 送 给 接收 方 。 接 收 方 接收 到 密 文 后 ,利用 解密 密 钥 
进行 相应 的 解密 操作 ,还原 出 原始 数据 ,完成 数据 的 安全 传输 。 安 全 通信 中 一 般 采 用 对 称 加 
密 体制 。 由 于 受到 加 密 运 算 强 度 的 限制 , 公 钥 体制 一 般 只 用 于 对 称 密 钥 的 分 发 。 

密 钥 是 加 密 / 解 密 机 制 中 的 基本 条 件 ,是 实现 安全 数据 传输 的 基础 。 如 何 有 效 地 实现 密 
钥 的 创建 (协商 ) ,发布 、 安 装 、 定 期 更 新 .事件 驱动 更 新 (在 组 通信 系统 中 ,组 成 员 关 系 发 生变 
化 ,如 用 户 加 入 .退出 等 ,所 引发 的 密 钥 更 新 ) ,避免 泄露 和 被 窃听 ,是 保证 数据 安全 的 关键 性 
问题 , 即 密 钥 管理 机 制 问题 。 通 过 对 密 钥 管 理 机 制 的 研究 ,可 以 有 效 .安全 可 靠 地 为 安全 数 
据 通 信 中 的 加 密 /解密 操作 提供 密 钥 支持 。 密 钥 管 理 机 制 的 优 劣 直接 关系 到 安全 数据 传输 
的 成 败 、 稳 定性 和 可 靠 性 。 所 以 研究 密 钥 管理 机 制 , 寻 求 高 效 , 安 全 、 可 靠 的 解决 方案 是 至 关 
重要 的 。 

在 安全 单 播 情况 下 ,会话 密 钥 (session key, 也 称 为 数据 加 密 密 钥 ) 的 分 发 管理 方式 一 般 


B45 AB 


有 : 手工 分 发 .KDC 集中 分 发 .基于 公 钥 体制 分 发 和 分 布 式 密 钥 协商 等 ; 除 安全 单 播 外 ,一 
对 多 ,多 对 多 安全 组 通信 和 机制 具有 广泛 的 应 用 领域 ,如 付费 视频 点 播 , 安 全 视频 会 议 、 网 络 协 
作 等 。 通 过 高 效 、 安 全 的 密 钥 管 理 方案 的 实施 ,对 组 密 钥 的 生成 、 更 新 进行 相应 管理 ,可 以 实 
现 对 组 通信 数据 的 访问 控制 ,保证 只 有 掌握 合法 组 密 钥 的 用 户 才能 对 数据 进行 访问 ,从 而 保 
证 数据 的 机 密 性 .私有 性 等 安全 特性 。 安 全 组 通信 密 钥 管 理 以 安全 单 播 密 钥 分 发 管理 为 
基础 。 

安全 的 组 密 钥 管 理 方案 主要 分 为 3 类 : 集中 式 、 分 散 式 和 分 布 式 。 在 集中 式 密 钥 管理 
方案 中 ,由 单一 通信 实体 担当 中 央 控 制 节点 ,全权 负责 组 密 钥 的 创建 .分 发 和 组 成 员 关系 发 
生变 化 时 的 密 钥 更 新 。 在 分 散 式 组 通信 密 钥 管 理 中 ,整个 通信 组 分 成 若干 子 组 ,每 个 子 组 分 
别 由 不 同 的 子 组 控制 器 管理 。 所 有 子 组 之 间 可 以 是 分 布 关系 ,或 是 由 一 个 中 央 控 制 节点 在 
最 高 层 进行 集中 控制 。 而 在 分 布 式 的 密 钥 管 理 方案 中 ,没有 中 央 控 制 节 , 各 节点 都 是 独立 的 
通信 实体 ,他 们 共同 参与 通信 组 的 安全 认证 和 组 密 钥 的 创建 及 更 新 。 这 种 管理 方式 很 容易 
推广 到 peer-to-peer 应 用 。 

就 组 通信 的 应 用 背景 问题 来 看 ,当前 ,Internet 已 经 成 为 现代 社会 赖 以 存在 和 发 展 的 重 
要 基础 设施 。 它 迅速 进入 了 国民 经 济 、 社 会 生活 的 方方面面 ,发 挥 着 不 可 替代 的 作用 ,对 人 
类 的 生活 方式 、 工 作 方 式 和 思维 方式 都 产生 着 深远 的 影响 。Internet 在 推动 全 球 社会 进入 
信息 化 时 代 的 同时 ,其 自身 也 在 不 断 地 演变 以 满足 各 种 日 新 月 异 的 需求 。 近 几 年 来 ， 
Internet 的 带宽 增长 迅速 ,覆盖 范围 几乎 遍及 全 球 。 这 些 进步 使 得 很 多 业务 的 开展 成 为 
可 能 。 

而 且 , 随 着 移动 通信 和 普 适 计算 的 兴起 ,计算 模式 正 朝 着 “深入 生活 、 无 处 不 在 ”的 方向 
发 展 。 无 线 传感器 网 络 (wireless sensor networks, WSN) 和 移动 网 络 (network mobility， 
NEMO) 正 是 当前 两 种 重要 的 普 适 计算 环境 。 

作为 传统 骨干 网 络 边 界 的 延伸 ,无 线 传感器 网 络 是 集成 传感器 、 微 机 电 系 统 和 网 络 三 大 
技术 而 形成 的 一 种 全 新 的 信息 获取 和 处 理 技术 。 当 前 ,以 廉价 而 低 功 耗 计算 设备 代表 的 “后 
PC 时 代 ” 冲 破 了 传统 台式 计算 机 和 高 性 能 服务 器 的 设计 模式 ;网 络 的 普遍 化 带 来 的 计算 处 
理 能 力 是 难以 估量 的 ;微机 电 系 统 (micro-electro-mechanism system. MEMS) ff) 3 i Az JE 3& 
定 了 设计 和 实现 片上 系统 (system on chip,SOC) 的 基础 ,并 使 得 低 成 本 、 低 功 耗 、 微 体积 传 
感 器 节点 得 以 广泛 使 用 。 这 种 微 传感器 节点 由 传 感 单元 .数据 处 理 单元 .通信 单元 和 便携 式 
电源 组 成 5 ,能 够 完成 数据 采集 .信号 监测 和 传送 信息 的 任务 。 传 感 器 网 络 即 为 以 上 3 方面 
高 度 集成 而 孕育 出 新 的 信息 获取 和 处 理 模 式 。 

无 线 传感器 网 络 (WSN) 则 是 由 一 组 传感器 节点 通过 无 线 介质 连接 而 构成 的 无 线 网 络 ， 
它 是 随 着 传感器 技术 和 通信 技术 的 发 展 而 出 现 的 ,并 因为 其 应 用 的 广泛 性 而 越 来 越 多 地 得 
到 业界 的 高 度 重视 。WSN 采用 自 组 织 方式 配置 大 量 微型 的 智能 传 感 节点 ,通过 节点 的 协 
同 工 作 来 采集 和 处 理 网 络 覆 盖 区 域 中 的 目标 信息 。 无 线 传感器 网 络 具有 许多 得 天 独 厚 的 技 
术 优 势 , 它 在 环境 与 军事 监控 ,地 震 与 气候 预测 ,地 下 ,深水 以 及 外 层 空间 探索 等 许多 方面 已 
展示 出 广泛 的 应 用 前 景 。 可 以 说 ,无 线 传 感 器 网 络 是 信息 感知 和 采集 的 一 场 革命 ,是 21 世 
纪 最 为 重要 的 技术 之 一 。 

另外 ,相对 于 传统 的 无 线 移动 通信 ,下 一 代 无 线 网 络 应 提供 给 用 户 更 高 的 宽带 服务 ,并 
且 透 明 地 将 技术 集成 到 系统 环境 中 ,从 而 实现 位 置 无 关 性 。 这 样 就 需要 整合 异 构 网 络 和 协 
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议 。 移 动 网 络 NEMO 正 是 这 种 异 构 体系 结构 中 不 可 或 缺 的 一 部 分 。IETF 的 NEMO 工作 
组 认为 ,移动 网 是 一 个 具有 Internet 接 入 点 的 独立 单元 ,也 可 以 认为 它 是 一 个 叶子 网 络 。 
NEMO 不 仅 要 求 提供 和 主干 网 络 连 接 的 功能 ,而 且 还 需要 具有 用 户 位 置 注 册 和 用 户 位 置 发 
现 的 功能 。 因 此 ,下 一 代 无 线 网 络 所 具备 的 另 一 个 特征 是 多 地 址 和 在 多 域 环境 中 的 移动 性 。 
这 就 要 求 下 一 代 网 络 为 用 户 提 供 全 球 范围 内 的 无 缝 连 接 , 使 得 用 户 可 以 在 任何 时 候 、 任 何 地 
点 使 用 最 适合 的 接口 接 入 网 络 。 

传统 的 移动 IP 所 提供 的 漫游 机 制 , 仅 局 限于 主机 (host) 漫 游 的 无 线 移动 网 络 。 当 主机 
扩展 成 网 络 时 , 即 为 具有 移动 网 络 NEMO 特性 的 网 络 。 例 如 ,在 公交 设施 上 设置 一 台 移动 
路 由 器 (mobile router) ,此 路 由 器 通过 上 行 接口 对 外 连接 互联 网 ,对 内 通过 无 线 局 域 网 向 移 
动用 户 提供 接 入 服务 。 当 公共 交通 设施 移动 漫游 时 ,其 中 的 所 有 移动 用 户 将 被 视 为 一 个 移 
动 子 网 。 此 时 ,移动 用 户 设备 并 不 需要 单独 执行 漫游 和 无 线 切 分 (handoff) 服 务 ,取而代之 
的 是 通过 移动 路 由 器 执行 漫游 与 切 分 服务 来 保持 网 络 整体 的 畅通 。 

所 有 的 这 些 实际 应 用 背景 ,无 论 是 Internet, 还 是 无 线 传感器 网 络 和 移动 网 络 ,都 对 
安全 组 通信 协议 的 设计 带 来 了 颇 多 挑战 ,如 开放 设计 的 Internet、 易 受 入 侵 和 非法 攻击 
的 移动 网 络 .不 可 靠 的 无 线 传 感 器 网 络 等 因素 。 因 此 ,以 Internet 为 核心 .移动 计算 和 
无 线 通信 为 边缘 延伸 的 普 适 计算 环境 将 带 来 一 些 新 的 计算 模式 。 这 使 得 组 通信 的 应 
用 将 变 得 更 加 普遍 ,同时 也 对 安全 的 组 通信 协议 设计 提出 了 许多 新 的 吸 待 解决 的 
课题 。 

考虑 到 这 些 新 的 网 络 形态 和 计算 模式 的 出 现 , 以 及 组 通信 技术 在 未 来 移动 通信 和 普 适 
计算 环境 中 更 为 广泛 的 应 用 前 景 ,我 们 有 必要 结合 具体 的 计算 背景 环境 对 安全 组 通信 的 组 
密 钥 管 理 机 制 进行 深入 研究 。 

从 1998 年 IETF 成 立 组 播 安全 研究 小 组 以 来 ,组 通信 的 安全 和 性 能 问题 一 直 是 一 个 重 
要 的 热点 问题 。 该 主题 历年 来 一 直 为 通信 和 网 络 领域 一 些 重要 的 国际 学 术 会 议 所 关注 ,如 
ACM SIGCOMM, ACM CCS, IEEE INFOCOM, IEEE GlobeCom 和 IEEE ISSP (IEEE 
Symposium on Security and Privacy) 等 。 尽 管 该 主题 目前 已 取得 了 很 多 研究 成 果 , 然 而 , 目 
前 组 通信 密 钥 管 理 研究 仍然 存在 许多 囊 待 解决 的 问题 。 

首先 , 现 有 的 组 密 钥 管理 方案 多 限于 协议 本 身 的 安全 性 和 性 能 方面 的 研究 ,存在 着 与 具 
体 应 用 结合 研究 不 够 等 问题 。 如 何 把 组 密 钥 管 理 的 研究 与 具体 应 用 相 结合 ,如 安全 的 视频 
点 播 .P2P 应 用 无 线 传感器 网 络 .移动 网 络 应 用 等 ,以 寻求 最 佳 的 密 钥 管理 方案 , 仍 具 有 重 
要 的 研究 意义 和 实用 价值 。 

其 次 ,就 组 密 钥 管理 方案 本 身 而 言 , 根 据 当前 组 密 钥 管理 研究 的 热点 问题 和 研究 趋势 来 
看 ,对 如 下 3 个 主题 展开 深入 的 研究 仍 很 有 必要 人 性: 

CD 组 密 钥 分 发 协议 的 鲁 棒 性 : 如 何在 不 可 靠 . 易 受 攻击 和 开放 的 组 通信 环境 中 保证 
组 密 钥 能 被 可 靠 地 分 发 和 更 新 ,也 即 要 求 协议 具备 一 定 的 容 侵 、 容 错 特性 。 

(2) 组 密 钥 分 发 协议 的 可 扩展 性 : 如 何 对 较 大 规模 的 动态 组 用 户 群 进行 有 效 的 组 密 钥 
管理 。 
(3) 组 密 钥 分 发 协议 的 动态 性 能 : 如 何在 组 用 户 频 繁 参 与 或 退出 组 通信 的 情形 下 保持 
协议 的 动态 稳定 性 。 

绕 如 上 3 个 主题 的 研究 ,最 近 几 年 已 有 很 大 进展 。 但 考虑 到 组 通信 的 实际 复杂 性 ,组 
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密 钥 管理 的 研究 依然 存在 很 大 困难 ,并 有 很 大 的 改善 空间 。 组 密 钥 分 发 协议 的 鲁 棒 性 、 可 扩 
展 性 和 动态 性 能 仍然 是 组 密 钥 管 理 研 究 工作 中 蝇 待 解决 的 几 个 重要 问题 ,特别 是 在 复杂 、 开 
放 、 不 可 靠 和 易 受 攻击 的 普 适 计算 环境 中 。 因 此 ,本 章 的 主要 工作 是 进一步 深入 开展 这 方面 
的 研究 。 图 4. 1. 1 描述 了 本 章 的 研究 层次 。 我 们 采用 的 研究 策略 是 循序 渐进 的 ,最 终 构建 
一 个 具有 良好 和 鲁 棒 性 、 可 扩展 性 和 动态 性 能 的 组 密 钥 分 发 协议 。 


"Um 基本 的 组 密 钥 分 发 协议 
协议 的 动态 性 研究 (B-GKDS) 
! 

自 傅 的 组 密 钥 分 发 协议 
(S-GKDS) 


基于 时 限 用 户 撤销 机 制 的 组 
密 钥 分 发 协议 (S-GKDS-TL) 


协议 的 可 扩展 性 研究 |-------- 
图 4.1.1 组 密 钥 分 发 协议 的 研究 层次 


组 密 钥 分 发 协议 的 研究 难点 是 在 组 通信 密 钥 管理 中 ,经 常 需要 在 协议 的 管理 效率 和 计 
算 开 销 、 安 全 性 .可靠 性 ( 密 钥 恢复 )、 存 储 开 销 和 网 络 带宽 占用 等 诸多 因素 之 间 进 行 综合 权 
衡 2 习 。 通 过 对 密 钥 管理 协议 特性 之 间 的 权衡 研究 可 以 使 密 钥 管理 方案 在 诸多 方面 之 间 进 
行 取舍 ,最 终 找 到 一 种 满足 特定 应 用 需求 的 实际 可 行 方案 。 
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4.2.1 概述 


组 通信 被 广泛 应 用 于 多 种 网 络 业 务 中 ,能 够 有 效 地 实现 一 对 多 、 多 对 多 的 信息 交换 。 安 
全 的 组 通信 通过 引入 对 称 加 解密 技术 实现 对 组 通信 数据 的 访问 控制 ,使 得 只 有 掌握 合法 组 
密 钥 的 用 户 才能 对 组 通信 数据 进行 访问 ,从 而 保证 数据 的 机 密 性 (confidentiality) 和 私有 性 
(privacy)。 安 全 组 通信 可 以 有 效 地 应 用 于 数据 安全 敏感 的 网 络 业务 中 ,提供 高 效 、 安 全 的 
数据 服务 ,如 信息 软件 分 发 .安全 多 媒体 数据 传输 、 付 费 视频 点 播 (pay-perview) 和 安全 视频 
会 议 等 。 

在 安全 组 通信 系统 中 , 密 钥 管理 充当 着 重要 角色 。 各 组 内 用 户 通过 高 效 、 安 全 的 密 钥 管 
理 机 制 的 实施 ,可 以 对 密 钥 生 成 、 密 钥 分 发 、. 密 钥 协 商 及 密 钥 更 新 等 进行 有 效 的 管理 ,为 安全 
的 组 通信 进行 加 密 、 解 密 操作 提供 基本 的 安全 保障 。 密 钥 管 理 机 制 的 优 劣 直接 关系 到 数据 
传输 的 安全 性 (前 向 保密 、 后 向 保密 、 抗 同谋 破解 等 的 安全 特性 ) ,稳定 性 和 可 靠 性 。 所 以 , 密 
钥 管 理 机 制 是 安全 组 通信 中 至 关 重要 的 问题 ,对 其 研究 具有 重要 的 意义 。 

目前 ,安全 组 通信 和 密 钥 管理 方案 可 以 分 为 集中 式 管理 ,分 散 式 管理 和 分 布 式 管理 3 
3807, 四 集中 式 组 通信 密 钥 管理 : 在 集中 式 组 通信 密 钥 管理 中 ,由 单一 通信 实体 担当 中 央 
控制 节点 全 权 负 责 通信 组 密 钥 的 创建 .分 发 和 组 成 员 关 系 发 生变 化 时 的 密 钥 更 新 。 集 中 式 
组 通信 密 钥 管理 方案 可 以 分 为 平面 管理 模式 和 层次 树 管 理 模式 两 种 类 型 。 层 次 树 管 理 方案 
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采用 密 钥 逻辑 树 对 密 钥 进行 管理 ,提高 了 密 钥 管理 方案 的 可 扩展 性 和 高 效 性 。@ 分 散 式 组 
通信 和 密 钥 管 理 : 在 分 散 式 组 通信 密 钥 管理 中 ,整个 通信 组 分 成 若干 子 组 ,每 个 子 组 分 别 由 不 
同 的 子 组 控制 器 管理 。 所 有 子 组 之 间 可 以 是 分 布 关系 ,或 是 由 一 个 中 央 控 制 节点 在 最 高 层 
进行 集中 控制 。 根 据 通信 组 是 否 拥 有 唯一 的 组 密 钥 ,分 散 式 组 通信 和 密 钥 管理 可 以 分 为 密 钥 
分 发 服务 器 模式 和 重 加 密 服 务 器 模式 两 种 方式 。@ 分 布 式 组 通信 密 钥 管理 : 在 分 布 式 组 通 
信 密 钥 管理 中 ,没有 中 央 控 制 节点 和 子 组 控制 节点 ,每 个 节点 都 是 一 个 独立 的 通信 实体 , 它 
们 共同 参与 通信 组 的 安全 认证 和 通信 组 密 钥 的 创建 。 根 据 是 否 所 有 用 户 参 与 组 密 钥 协商 ， 
分 布 式 组 密 钥 管理 方案 可 以 分 为 非 协商 模式 和 协商 模式 两 类 。 

在 组 通信 和 密 钥 的 管理 过 程 中 ,可 以 根据 不 同 应 用 需求 采用 不 同 的 密 钥 管 理 方案 来 达到 
相应 的 管理 目标 。 如 密 钥 可 以 在 密 钥 分 发 中 心 (key distribution center. KDC) 生 成 ,然后 进 
行 组 内 分 发 ;也 可 以 基于 DH 算法 的 支持 ,通过 组 内 成 员 共 同 协商 确定 组 通信 密 钥 ;或 者 在 
通信 组 成 员 关 系 发 生变 化 时 ,通过 单 向 函数 在 本 地 计算 出 新 密 钥 。 应 针对 具体 应 用 特点 , 确 
定 管理 方案 以 满足 系统 不 同 的 安全 性 需求 : 如 付费 视频 点 播 系统 , 除 对 付费 用 户 进行 身份 
认证 , 需 同时 确保 无 冒名 顶替 等 问题 ,而 无 需 对 数据 源 进行 认证 ;对 于 安全 视频 会 议 系 统 , 除 
对 数据 接收 方 进行 身份 认证 以 外 ,同时 还 要 对 数据 发 送 方 (组 通信 源 ) 进 行 认 证 ,确保 无 抵 
赖 。 由 此 可 见 ,不 同 的 安全 组 通信 系统 具有 不 同 的 特性 要 求 。 结 合 网 络 应 用 特点 ,有 针对 性 
地 进行 组 通信 和 密 钥 管理 机 制 的 研究 ,以 寻求 高 效 \、 安 全 、 可 靠 的 安全 组 通信 密 钥 管 理 的 解决 
方案 ,具有 重要 的 研究 价值 和 实际 意义 。 


4.2.2 组 密 乌 管 理 方案 的 特性 需求 


鉴于 安全 组 通信 系统 中 数据 传输 本 身 所 具有 的 固有 特点 和 要 求 , 密 钥 管 理 机 制 应 满足 
高 效 性 .可 扩展 性 ` 可 靠 性 .和 鲁 棒 性 、 安 全 性 (前 向 保密 、 后 向 保密 、 抗 同谋 破解 .身份 验证 等 ) 
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高 效 性 (efficiency) 与 可 扩展 性 (scalability) 密切 相关 : 高 效 性 是 指 以 最 小 的 系统 资源 
开销 (包括 存储 开销 .计算 开销 网络 带 宽 开 销 ) 实 现 组 通信 密 钥 管理 ;而 可 扩展 性 是 指 组 通 
信 中 采用 的 密 钥 管理 方案 是 否 适用 于 大 规模 通信 组 , 即 当 通信 组 成 员 数 量 增加 时 , 密 钥 管理 
方案 能 否 胜 任 。 一 般 情 况 下 ,高 效 的 密 钥 管理 方案 其 可 扩展 性 也 好 。 

在 安全 组 通信 系统 中 ,应 尽量 减 小 密 钥 管理 所 带 来 的 网 络 带宽 开销 ,提高 网 络 传输 效 
率 , 节 约 出 带宽 供 数据 传输 使 用 。 此 外 ,还 应 该 尽量 减 小 密 钥 在 各 节点 保存 所 需 的 存储 开 
销 、 加 密 / 解 密 操作 及 辅助 运算 产生 的 计算 开销 。 衡 量 密 钥 管理 方案 高 效 性 的 常用 相关 性 能 
参数 如 下 : 

(1) KDC 和 各 用 户 节 点 所 需 保存 的 密 钥 数 ; 

(2) 用 户 离开 时 , 密 钥 更 新 的 消息 长 度 ; 

G) 用 户 加 入 时 , 密 钥 更 新 长 度 ( 一 般 分 为 组 播 的 消息 长 度 和 单 播 的 消息 长 度 ); 

(4) 密 钥 更 新 时 ,所 需 的 加 密 / 解 密 运 算 次 数 ; 

(5) 密 钥 更 新 时 ,所 需 的 辅助 运算 的 强度 和 次 数 ( 如 单 向 函数 运算 混合 函数 等 ); 
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C6) 密 钥 协商 方式 中 , 密 钥 协商 所 需 的 交互 的 轮 次 数 、 寡 运算 的 次 数 。 
4222 安全 性 


在 安全 组 通信 系统 中 ,由 于 用 户 成 员 关 系 经 常 处 于 动态 变化 中 ,如 不 断 有 新 用 户 加 入 通 
信 组 、 老 用 户 退 出 通信 组 等 ,所 以 组 通信 密 钥 管 理 在 安全 性 需求 方面 具有 不 同 于 单 播 密 钥 管 
理 的 特点 。 在 安全 组 通信 系统 中 , 密 钥 管理 方案 应 满足 前 向 隐私 性 、 后 向 隐私 性 、 抗 同谋 破 
解 . 用 户 身 份 认证 等 安全 特性 要 求 。 

前 向 隐私 性 : 确保 离开 通信 组 的 用 户 节点 不 能 继续 参与 安全 通信 组 的 数据 传输 , 即 无 
法 利用 其 所 掌握 的 密 钥 解密 后 继 组 通信 数据 和 生成 有 效 的 加 密 报 文 。 离 开 的 节点 包括 主动 
退出 通信 组 的 节点 和 被 强制 退出 的 恶意 节点 。 保 证 前 向 隐私 性 的 方法 是 在 有 用 户 离开 通信 
组 时 ,及 时 更 新 通信 组 密 钥 。 

后 向 隐私 性 : 确保 新 加 入 的 组 成 员 无 法 利用 现 有 密 钥 破 解 其 加 入 通信 组 前 的 组 通信 数 
据 。 保 证 前 向 隐私 性 的 方法 是 在 有 新 用 户 加 入 通信 组 时 ,及 时 更 新 通信 组 密 钥 。 

抗 同谋 破解 : 安全 组 通信 密 钥 管 理 不 仅 要 防止 某 个 节点 破解 系统 ,还 要 防止 某 几 个 节 
点 联合 起 来 破解 。 如 果 几 个 恶意 节点 联合 起 来 ,掌握 了 足够 多 的 密 钥 信息 , 则 对 密 钥 管理 系 
统 造成 危害 或 破坏 密 钥 管理 机 制 ,使 得 无 论 系 统 如 何 更 新 密 钥 它 都 可 以 获得 更 新 的 密 钥 , 导 
致 组 通信 中 密 钥 管理 的 前 向 保密 和 后 向 保密 失败 ,或 者 使 得 恶意 节点 可 以 冒充 其 他 节点 进 
行 欺骗 (破解 系统 的 认证 功能 ) ,我 们 把 这 种 情况 称 为 同谋 破解 。 安 全 组 通信 密 钥 管理 系统 
应 杜绝 同谋 破解 或 尽量 降低 同谋 破解 的 概率 。 

用 户 身份 认证 四: 在 安全 组 通信 中 ,数据 源 和 通信 组 成 员 身份 的 认证 是 重要 的 安全 特 
性 ,包括 用 户 身 份 认 证 和 数据 源 认 证 。 通 过 通信 组 成 员 的 身份 验证 ,确保 只 有 具有 合法 身份 
的 用 户 才 可 以 加 入 通信 组 ,参与 通信 组 内 的 数据 传输 ,确保 非 组 成 员 无 法 生成 有 效 的 认证 信 
息 ,进而 无 法 冒充 组 成 员 接 收 组 通信 报 文 ,可 以 拒 非法 企图 窃取 组 通信 数据 者 于 通信 组 之 
外 。 通 过 数据 源 身份 认证 可 以 确保 其 身份 的 合法 性 ,确保 数据 源 对 发 送 的 数据 负责 ,保证 不 
可 否认 性 。 

在 安全 组 通信 网 络 应 用 中 ,不 同 的 应 用 对 于 安全 性 的 要 求 具有 差异 性 ,如 成 员 关 系 相对 
较为 固定 的 安全 视频 会 议 系 统 对 于 前 向 、 后 向 保密 安全 性 要 求 较 低 , 而 对 于 数据 源 和 用 户 身 
份 的 认证 要 求 相对 较 高 ;但 在 付费 视频 点 播 应 用 中 ,对 前 向 \ 后 向 保密 安全 性 以 及 用 户 身份 
认证 要 求 较 高 ,而 对 数据 源 认证 要 求 相 对 较 低 。 所 以 ,我 们 应 根据 应 用 需求 保证 安全 性 。 


4223 可 靠 性 


可 靠 性 是 指 密 钥 管 理 系统 能 否 在 不 可 靠 的 组 通信 中 保证 密 钥 更 新 消息 的 可 靠 传输 ,能 
否 在 密 钥 更 新 消息 丢失 节点 发 生 未 可 预期 错误 的 情况 下 恢复 正常 的 安全 组 数据 传输 。 

如 何 避 免 各 种 管理 方案 中 的 缺陷 ,弥补 不 足 , 提 高 组 通信 系统 的 可 靠 性 是 至 关 重要 的 。 
如 在 安全 组 通信 密 钥 管理 的 过 程 中 引入 延 时 重 发 和 消息 握手 机 制 ,在 密 钥 分 发 .更 新 等 过 程 
中 确保 消息 可 靠 传递 ,或 引入 密 钥 恢复 机 制 提 高 密 钥 更 新 的 可 靠 性 都 是 值得 研究 的 问题 。 
此 外 ,在 密 钥 管理 方案 中 引入 密 钥 恢复 机 制 -5 ,保证 密 钥 更 新 的 可 靠 性 。 在 多 媒体 安全 
组 通信 中 , 密 钥 管理 方案 的 可 靠 性 与 密 钥 的 传送 方式 直接 相关 。 密 钥 传送 方式 可 以 分 为 两 
种 29 : 媒体 无 关 信道 和 媒体 相关 信道 方式 。 采 用 媒体 无 关 信道 ,由 安全 系统 本 身 通过 可 靠 
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组 播 或 者 密 钥 恢复 机 制 保证 密 钥 管理 的 可 靠 性 ;采用 媒体 相关 信道 ,必须 在 应 用 层 采 取 相应 
的 可 靠 性 保证 机 制 ,保证 密 钥 管理 的 可 靠 性 。 


4224 鲁 棒 性 


对 于 单 播 来 说 ,通信 的 任何 一 方 失败 都 会 使 会 话 终止 ,而 组 通信 中 部 分 节点 的 失败 不 应 
影响 整个 组 通信 会 话 的 继续 进行 ,这 就 对 组 通信 密 钥 管理 提出 了 和 鲁 棒 性 的 要 求 。 鲁 棒 性 问 
题 是 指 单一 节点 或 者 少数 节点 失效 是 否 影 响 整 个 系统 的 运作 ,是 否 存在 1-affect-n 问题 "5 ， 
如 集中 式 密 钥 管理 方案 中 的 密 钥 分 发 中 心 KDC 单 失效 节点 问题 。IOLUSD9 等 密 钥 管理 方 
案 采 用 分 散 式 管理 , 较 好 地 解决 了 l-affect-n 问题 ,提高 了 系统 的 鲁 棒 性 。 

在 安全 组 通信 密 钥 管理 中 ,要 根据 实际 应 用 对 上 述 特性 的 不 同 要 求 , 在 各 特性 之 间 进 行 
权衡 和 折 中 ,确定 适合 该 应 用 中 的 最 佳 密 钥 管理 方案 。 


4.2.3 组 密 钥 管理 方案 分 类 


目前 ,安全 组 通信 密 钥 管 理 方案 可 以 分 为 集中 式 管理 分散 式 管理 和 分 布 式 管理 3 类 。 


1. 集中 式 组 通信 密 钥 管理 

由 单一 通信 实体 担当 中 央 控 制 节 点 (又 称 为 组 控制 器 (group controller. GO) , 密 钥 分 发 
中 心 KDC) ,全 权 负 责 通信 组 密 钥 的 创建 .分 发 和 组 成 员 关 系 发 生变 化 时 的 密 钥 更 新 。 集 中 
式 组 通信 密 钥 管理 方案 可 以 分 为 平面 管理 模式 (centralized flat) 和 层次 树 管 理 模式 
Chierarchy tree) 两 种 类 型 。 层 次 树 管理 方案 采用 密 钥 逻辑 树 对 密 钥 进行 管理 ,提高 了 密 铀 
管理 方案 的 可 扩展 性 和 高 效 性 。 在 基本 LKH logical key hierarchy) 9! 管理 方案 的 基础 
上 ,通过 对 诸多 特性 间 进 行 权 衡 和 改进 (如 通过 减 小 密 钥 更 新 消息 长 度 以 提高 网 络 传输 效 
率 、 提 高 密 钥 协商 机 制 的 可 靠 性 ,增加 密 钥 信 息 自 恢复 能 力 等 ) 可 得 到 许多 变种 管理 方案 。 


2. 分 散 式 组 通信 密 钥 管理 

在 分 散 式 组 通信 密 钥 管理 中 ,整个 通信 组 分 成 若干 子 组 ,每 个 子 组 分 别 由 不 同 的 子 组 控 
制 器 管理 。 所 有 子 组 之 间 可 以 是 分 布 关系 ,或 是 由 一 个 中 央 控 制 节点 在 最 高 层 进行 集中 控 
制 。 根 据 通信 组 是 否 拥有 唯一 的 组 密 钥 GK ,分 散 式 组 通信 密 钥 管理 可 以 分 为 两 种 方式 , 密 
钥 分 发 服务 器 模式 (key distributed servers scheme) 和 重 加 密 服务 器 模式 C re-encryption 
servers scheme) ,如 图 4. 2. 1 所 示 。 在 密 钥 分 发 服务 器 模式 中 ,具有 唯一 的 组 密 钥 GK , 而 
在 重 加 密 服 务 器 模式 中 ,不 具有 唯一 的 组 密 钥 GK。 


3. 分 布 式 组 通信 密 钥 管理 

在 分 布 式 组 通信 密 钥 管理 中 ,没有 中 央 控 制 节 点 和 子 组 控制 节点 ,每 个 节点 都 是 一 个 独 
立 的 通信 实体 ,它们 共同 参与 通信 组 的 安全 认证 和 组 密 钥 GK 的 创建 。 这 种 控制 方式 很 容 
易 推 广 到 peer-to-peer 的 应 用 模式 。 根 据 是 否 所 有 用 户 参 与 组 密 钥 协 商 , 分 布 式 密 钥 管理 
可 以 分 为 两 类 : 非 协 商 模式 (non-negotiation schemes) 和 协商 模式 (negotiation schemes), 
如 图 4. 2. 1 所 示 。 非 协商 模式 更 注重 管理 的 高 效 性 ,但 它 不 能 保证 所 有 组 成 员 平 等 地 参与 
组 密 钥 的 协商 生成 。 协 商 模式 注重 于 保证 所 有 的 组 用 户 平等 地 参与 组 密 钥 GK 的 协商 生 
成 。 非 协商 模式 建立 在 对 LKHW 7) ,C-OFTO9 ,Flat Tabler*""1 等 方案 的 扩展 之 上 ,而 协商 
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模式 主要 是 建立 在 Diffie-Hellman 密 钥 协商 协议 的 扩展 之 上 。 
集中 式 组 密 钥 管理 分 散 式 组 密 钥 管理 全 分 布 式 组 密 钥 管理 
平面 管理 层次 树 管理 || 密 钥 分 发 服务 器 方式 || 重 加 密 服务 器 方式 | | 非 协商 模式 协商 模式 
I 
LKH SMKD TGDH 
GKMP C-OFT IGKMP cs D-LKH CKA 
C-FT OFCT Hydra MARKS DISEC BDP 
ELK Kronos Iolus VersaKey STR 
a-ary Dual-Encrypt Octopus 
a-ary cluster Cluster-Layer CLIQUES 


图 4.2.1 安全 组 通信 密 钥 管理 方案 分 类 


4.2.4 集中 式 组 密 钥 管理 


4241 平面 管理 模式 


1, 组 密 钥 管理 协议 

在 不 需要 保证 前 向 隐私 性 的 高 效 安全 组 通信 中 ,优先 考虑 组 密 钥 管理 协议 (group key 
management brotocol,GCP)522 , GCP 中 采用 一 个 密 钥 分 发 中 心 (KDC) 集 中 管理 密 钥 的 
分 发 和 更 新 。 在 通信 组 建立 阶段 ,KDC 首先 在 第 一 个 组 成 员 的 协助 下 生成 GKPCgroup key 
packet), GKP 中 包含 GTEK (group traffic encryption key) 和 GKEK (group key 
encryption key) 两 个 密 钥 ,GTEK 用 于 数据 加 、 解 密 ,GKEK 用 于 加 密 GKP 进行 密 钥 分 发 。 
然后 KDC 将 GKP 分 发 给 通信 组 的 其 他 成 员 ,通信 组 建立 完成 。 

密 钥 更 新 : 当 有 新 用 户 加 入 时 ,GC 生成 一 个 新 GKP 并 用 当前 GKEK 加 密 : (GKP) 
GKEK ,并 组 播 给 原 通信 组 成 员 , 同 时 通过 安全 单 播 将 新 GKP 发 送 给 新 用 户 ,随后 通信 组 使 
用 新 的 GTEK 和 GKEK 进行 组 通信 。 

安全 性 : 通过 密 钥 更 新 可 以 保证 后 向 保密 安全 性 ,但 除非 重建 整个 通信 组 ,否则 无 法 保 
证 前 向 保密 安全 性 。 因 为 用 户 离开 后 ,仍然 能 够 通过 先前 掌握 的 密 钥 信息 ,继续 对 通信 组 中 
传输 的 数据 进行 访问 。 

2. 集中 式 平 面 表 管理 

在 不 需要 保证 抗 同 谋 破 解 的 安全 组 通信 中 ,可 以 考虑 采用 集中 式 平面 表 管 理 
(centralized flat table,C-FT)"2) 。 在 C-FT 方案 中 ,使 用 平面 表 对 密 钥 进行 组 织 和 管理 。 
KDC 中 保存 一 个 逻辑 密 钥 表 , 其 中 包括 1 个 TEK (traffic encryption key) 和 2w 个 KEK 
(key encryption key) ,其 中 w 是 用 户 ID 号 的 bit 位 数 。 每 个 用 户 节点 应 保存 TEK (traffic 
encryption key) 和 w 个 KEK, 以 保证 密 钥 的 分 发 和 管理 。 根 据 用 户 节点 ID 编号 确定 其 应 
保存 的 密 钥 集 合 : 

{TEK} U (KEK,; | i 表示 用 户 编号 bit 位 ,ji WK bit 位 的 值 ,j = 0.1). 
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以 4 位 编号 为 例 : 支持 最 大 组 成 员 个 数 为 2: = 二 16,ID 编号 由 0000 一 1111。 成 员 0101 
保存 如 图 4.2.2 所 示 密 钥 。 


TEK TEK 
ID Bit0 KEKo,o KEK. ID Bit0=0 KEKo,o 
ID Bitl KEK。 KEK,， ID Bitl=1 KEK, 
ID Bit2 KEK,. 5 KEK;; ID Bit2—0 KEK, 5 
ID Bit3 KEK;.。 KEK,,; ID Bit3=1 KEK;,, 
(a) KDC 保存 的 密 钥 表 (b) 成 员 0101 保存 的 密 钥 表 


图 4.2.2 C-FT 方 案 实例 (4 位 编号 ) 


为 保证 前 向 隐私 性 , 当 用 户 节 点 离开 时 ,该 节点 掌握 的 密 钥 需要 全 部 更 新 : 更 新 TEK 
为 TEK' ,更 新 该 节点 掌握 的 所 有 KEK 为 KEK'。 密 钥 更 新 消息 内 容 由 两 部 分 组 成 : Part 1 
和 Part 2。 用 所 有 无 需 更 新 的 KEK WME TEK', 构 成 Part 1; 用 TEK' 加 密 所 有 需要 更 新 的 
KEK 对 应 的 新 密 钥 KEK’ ,构成 Part 2; 组 装 成 密 钥 更 新 消息 进行 组 通信 发 送 ,完成 更 新 。 
当 用 户 Unio 离开 时 , 密 钥 更 新 消息 内 容 组 成 为 

Part 1: [((TEK')KEK,,; J[(TEK’) KEK,,o || CTEKOKEK; ; l| oTEKOKEK,, ] 

Part 2: [(KEK'.o) TEK’ J[(KEK‘.1) TEK’ J[(KEK>,o) TEK’ J[(KEK3,1) TEK’ ] 

安全 性 : CFT 方案 可 以 通过 密 钥 更 新 保证 前 向 和 后 向 隐私 性 ,但 不 具有 抗 同谋 破解 能 
力 : 如 用 户 Uuo 和 Unhos 同 谋 , 可 以 获知 所 有 密 钥 ,对 密 钥 管理 系统 构成 危害 。 


4242 层次 树 管 理 模 式 


1. 逻辑 密 钥 层次 树 

逻辑 密 钥 层次 树 管 理 方案 (logical key hierarchy, LKH) "具有 良好 的 可 扩展 性 ,并 
可 确保 前 向 加 密 、 后 向 加 密 、 抗 同谋 破解 等 安全 性 。 在 LKH 方案 中 ,采用 存储 在 KDC 中 的 
逻辑 密 钥 树 对 组 通信 密 钥 进行 管理 。 其 中 使 用 两 种 密 钥 : 组 密 钥 GK (group key) ,又 称 为 
会 话 密 钥 SK(session key) 或 数据 加 密 密 钥 DEK (data encryption key) ,用 来 加 密 组 通信 数 
据 ; 密 钥 加 密 密 钥 用 来 进行 组 密 钥 更 新 的 辅助 密 钥 。 

图 4. 2. 3 表示 一 棵 二 又 平衡 LKH 树 。 圆 形 节点 均 为 巡 辑 密 钥 节点 ,方形 节点 为 实际 


图 4.2.3 LKH 逻辑 密 钥 树 
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用 户 节点 。 圆 形 节点 构成 的 逻辑 密 钥 树 结构 保存 在 KDC。 图 中 标 出 了 各 节点 的 相关 密 钥 ， 
其 中 GK 为 组 密 钥 , 对 应 LKH 树 的 根 节点 ;三 级 密 钥 加 密 密 钥 KEK 分 别 为 {Kn, Kiet 
{Ka , Kz, Kz, Kaa}, {Ki, Ks Ks Ka Ks Ks Ks Ks). 各 用 户 节 点 保存 从 甚 父 节 点 到 
LKH 树 根 节 点 的 路 径 上 的 所 有 密 钥 ,如 图 4. 2. 3 Bros ,用户 Us 保存 的 密 铀 有 {Ks Kai. 


Ky.GK], 
密 钥 更 新 : 当 用 户 成 员 关 系 发 生变 化 时 ,如 新 成 员 加 入 、 成 员 退 出 ,需要 进行 组 密 钥 更 
新 以 保证 前 向 /后 向 隐私 性 。 


如 图 4. 2.4(a) 所 示 , 当 用 户 Us 加 入 通信 组 时 , 则 从 其 父 节 点 到 root 根 节点 的 所 有 相关 
的 密 钥 都 需要 更 新 以 保证 后 向 隐私 性 。 密 钥 的 更 新 由 KDC 产生 ,更 新 过 程 如 下 : 
CD 新 用 户 Us 加 入 ,KDC 单 播 一 个 私有 密 钥 Ks 给 Us ; 
(2) 更 新 KaJ KaJ K: 和 Ks 加密 、 更 新 Ki 为 K's 并 用 Ks 和 KK%, 加 密 、 更 新 GK 
为 GK ,用 Ku 和 天? 加 密 , 由 这 3 部 分 共同 构成 基本 组 通信 密 钥 更 新 消息 报 文 : 
[CK2.)K7][LCK2 7)Ks]LCK? Ks JE OC Koi ]ECGKO Kui JLCGEO K'2 ] 
(3) 组 通信 密 钥 更 新 报 文 , 各 用 户 节点 接收 并 依次 解密 ,获取 更 新 密 钥 。 


KDC 


(a) Us MA (b) Us 离开 
图 4.2.4 FAP Us 加 入 /离开 密 钥 更 新 


如 图 4. 2. 4(b) 所 示 , 当 用 户 Us 离开 通信 组 , 则 从 其 父 节点 到 root 根 节点 的 所 有 相关 
的 密 钥 都 需要 更 新 以 保证 前 向 隐私 性 。 更 新 过 程 与 用 户 加 入 的 更 新 过 程 类 似 。 组 通信 密 钥 
更 新 消息 报 文 为 
ECCO Kz EGO 2 Kos IIB 2) Ka ]EGGEO Ki EGEO K 5: ] 
组 通信 密 钥 更 新 报 文 ,各 用 户 节点 接收 并 依次 解密 ,获取 更 新 密 钥 。 


2. 引入 单 向 函数 的 逻辑 密 钥 树 管理 

基于 单 向 函数 的 逻辑 密 钥 树 管理 " 汪 在 LKH 树 的 基础 上 .通过 引入 单 向 函数 和 混合 函 
数 运算 ,由 用 户 节点 计算 得 到 密 钥 树 中 KEK 和 GK, 减 小 密 钥 更 新 消息 报 文 长 度 ,提高 密 钥 
消息 传输 效率 。 该 类 管理 方案 是 用 计算 开销 换取 传输 效率 的 提高 ,为 数据 的 传输 节省 了 网 
络 带 宽 。 

文献 [18,24] 提 出 的 集中 式 单 向 函数 树 (centralized one-way function tree,C-OFT) 管 
理 方案 中 引入 了 如 下 函数 运算 : 
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K; = f(g Kuna) og Kiano D = f(Kunco > BK inca) (4.2.1) 
left) ffl right(i) 分 别 表示 非 用 户 节点 i 的 左 孩 子 和 右 孩 子 。g 是 单 向 函数 ,f 是 混合 函数 。 
通过 使 用 单 向 函数 和 混合 函数 ,可 以 将 密 钥 更 新 消息 的 长 度 从 LKH 的 2(logn) 降 低 到 
logz。 从 用 户 节 点 到 根 节点 的 路 径 中 所 有 节点 的 集合 构成 祖先 集 , 祖 先 集中 节点 的 兄弟 构 
成 的 集合 为 兄弟 集 , 各 节点 保存 的 密 钥 包括 其 私有 密 钥 及 其 兄弟 集中 各 成 员 密 钥 对 应 的 盲 
钥 (blind key, 即 密 钥 经 过 单 向 函数 g 运算 后 所 得 的 密 钥 ) 。 

如 图 4. 2. 5 所 示 , 当 用 户 节点 Us 加 入 时 进行 密 钥 更 新 : 

(1) KDC 首先 向 它 单 播 密 钥 {K。 BK; BK; Bo be 

(2) 然后 ,组 播 经 过 加 密 的 密 钥 信息 {(BKs ) Kr , (BK) Kos ,(BK Ki } s 

(3) 各 节点 收 到 加 密 的 盲 钥 信 息 后 , 先 解密 出 相关 的 盲 钥 信 息 ,然后 根据 自己 掌握 的 其 
他 相关 盲 钥 进 行 混合 运算 求 得 各 更 新 密 钥 。 


(BK12)K1 


图 4.2.5 集中 式 单 向 函数 树 (C-OFT) 


文献 [23] 提 出 的 OFCT(one-way function chain tree) 管 理 方案 主要 针对 用 户 离开 时 的 
密 钥 更 新 。OFCT 采用 伪 随 机 数 生成 器 5C5 (pseudo random generator) G Cz) , 它 可 以 分 为 
EARD DA LOM Ra), La) Ra) x KERE, GOSLAR), |La) | = 
|R(z) | 三 |z|。 其 密 钥 更 新 的 方式 是 : 

CD MHP U 离开 时 ,KDC 为 从 该 用 户 节点 到 根 节点 的 路 径 上 的 每 个 节点 v 赋 一 个 新 
值 : 如 果 o 为 叶子 节点 , 则 其 父 节点 赋值 为 russo = rs 否则 ,其 父 节点 赋值 为 Taren = 
R(r,) ,parent(v) 表 示 v 的 父 节点 ; 

(2) KDC 组 通信 和 发送 (rits ) K sibtingts) » Tparent(oy ) K sittingtoy EZ FA Kanica HM BE roue) » 
K singo FE o 71 RAY P BY As 

CD 相关 用 户 收 到 ro Hat LABOR A AK LG. 

如 图 4.2. 6 所 示 , 当 用 户 节点 Us 离开 时 进行 密 钥 更 新 : 

(OD KDC 为 节点 赋值 : r9 Ku RGOo Ki (R(r)) > Roots 

(2) 然后 KDC 组 播 : (ORORGOD)D Ks GG) Ka GOK;)5 

(3) 各 用 户 节 点 计算 新 密 钥 : 用 户 U, 计算 Ke LG); 

(4) 用 户 Us ,Us U: 计算 K^; —LORGOO 5 HH P1 Ui Us Us +U, Us .U; .U; 计算 GK = 
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图 4.2.6 单 向 函数 链 树 OFCT 


了 (RCRCr)))。 

文献 [3] 提 出 的 ELK 管理 也 是 基于 LKH 管理 方式 的 ,并 使 用 单 向 函数 ,管理 方式 与 
C-OFT( 单 向 函数 树 ) 方 式 相近 。 该 方案 中 使 用 伪 随 机 函数 PRF (pseudo random function) 
建立 和 管理 密 钥 树 。 另 外 ,该 方式 提供 了 密 钥 恢 复 机 制 ,在 密 钥 信息 丢失 的 情况 下 恢复 
密 钥 。 


3. a-ary 树 系列 管理 方案 

如 图 4.2. 7 所 示 «a-ary IU 4E LKH 二 又 逻辑 树 扩展 到 a 又 逻辑 树 , 其 密 钥 管理 方式 
与 基本 LKH 相似 。a-ary 簇 树 管理 方案 是 在 a- ary 树 管理 的 基础 上 引入 簇 (cluster) 的 管 
理 。 方 案 中 ,将 nn 个 通信 组 用 户 分 成 mx 大 小 的 簇 , 共 n/m 簇 。 复 中 的 所 有 用 户 共享 同一 复 
KEK ,同时 每 个 用 户 分 别 与 KDC 分 享 一 私有 密 钥 KK;。 各 簇 分 别 拥 有 一 个 随机 种 子 r KDC 
使 用 + 生成 K;。 如 图 4. 2. 8 所 示 , 节 点 度 为 4, 簇 大 小 为 3 的 4-ary HEM. HP IP, 
KDC 先 用 K: WEE KEK (m 一 1 次 加 密 操作 ) ,然后 按照 基本 的 LKH 方案 更 新 敌 节 
点 密 钥 。 


Ui U2) |Us| ^" |U 


图 4.2.7 aary fF 
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KDC 


4X 


A 
Ui | U2 || U3 | [Us|] Us || Us | LUz]|Us J| Uo | [U 10 [v Un 


图 4.2.8 KIH 3 fy 4-ary ERE 


4243 典型 方案 比较 


如 表 4. 2. 1 所 示 , 表 中 对 典型 的 集中 式 组 通信 密 钥 管理 方案 的 管理 特点 和 安全 特性 进 
行 了 比较 ; 表 4.2.2 对 各 典型 集中 式 组 通信 密 钥 管 理 方案 的 密 钥 更 新 消息 的 大 小 进行 了 比 
较 , 表 明了 各 方案 的 高 效 性 。 


表 4.2.1 典型 集中 式 密 钥 管理 方案 的 特点 与 安全 性 比较 


管 m 特点 Z 全 人 性 

平面 层次 基于 树 使 用 单 | 可 扩 | 密 钥 恢 | 前 向 | 后 向 | 抗 同谋 

管理 | 管理 向 函数 | 展 性 | 复 机 制 | 保密 | 保密 破解 
GCP Y N N N N N Y N ¥ 
CFT x N N N Y N Y Y N 
LKH N Y Y N Y N Y Y Y 
C-OFT N Y Y A hd N Y Y T 
OFCT N X Y Y ¥ N ¥ Y Y 
ELK N Y Y Y Y X X 党 T 
a-ary N Y Y N Y N Y Y Y 
a-ary cluster N E 4 Y N x N Y X P4 


表 4.2.2 典型 集中 式 密 钥 管理 方案 高 效 性 比较 ( 密 钥 更 新 消息 大 小 ) 


用 户 加 入 (组 播 ) 用 户 加 入 ( 单 播 ) 用 户 离开 (组 播 ) 
GCP 2 2 
CFT 2logn logn+1 2logn 
LKH 2h—1 h+1 2h 
C-OFT hcl hol hl 


第 4 章 ” 密 钥 管理 
BR 
用 户 加 入 (组 播 ) 用 户 加 入 ( 单 播 ) 用 户 离开 (组 播 ) 
OFCT h hl h+1 
ELK 0 h+1 n tn 
a-ary 2logn—1 logn+1 alogn 
a-ary cluster m—1-+alogn/m logn/m+2 m—1-+alogn/m 


4.2.5 ”分散 式 组 密 钥 管理 


4251 ” 密 钥 分 发 服务 器 模式 


1. 可 扩展 组 通信 和 密 钥 分 发 

可 扩展 组 通信 密 钥 分 发 (scalable multicast key distribution. SMKD)? fli Hj CBT (core 
based tree) 组 播 路 由 协议 建立 密 钥 树 ,用 来 在 通信 组 内 分 发 密 钥 。 从 加 入 用 户 到 核心 路 由 
器 的 整个 路 径 上 的 路 由 器 均 可 以 对 用 户 进 行 身份 认证 并 可 以 分 发 组 密 钥 ,而 这 些 路 由 器 由 
核心 路 由 器 进行 认证 。 这 种 模式 明显 提高 了 安全 控制 的 可 扩展 性 。 其 主要 缺陷 在 于 : 首 
先 ,这 种 模式 需要 对 IGMP 协议 进行 修改 ,并 要 采用 CBT 组 播 路 由 协议 ;其 次 ,缺乏 有 效 的 
前 向 隐私 性 保障 , 当 用 户 离开 通信 组 时 ,保证 前 向 隐私 的 唯一 途径 就 是 重建 安全 通信 组 ;第 
三 ,因为 CBT 中 的 路 由 咒 均 掌握 组 播 组 密 钥 ,所 以 SMKD 需要 CBT 中 的 路 由 器 是 高 度 可 
信任 的 。 

2. 域内 组 密 钥 管 理 

如 图 4. 2. 9 所 示 ,域内 组 密 钥 管理 (intra-domain group key management,IGCP)C9 将 
通信 组 分 为 若干 区 域 (area) 。 通 信 组 内 具有 一 个 域 级 密 钥 分 发 器 DKD(domain-wide key 
distributor) 。 每 个 区 域 有 一 个 区 域 密 钥 分 发 器 AKD(area key distributor) 。 整 个 域 通信 组 
具有 唯一 的 组 密 钥 ,组 密 钥 由 DKD 产生 ,由 相关 的 AKD 进行 分 发 。 由 于 IGCP 采用 DKD 


进行 集中 控制 ,所 以 DKD 成 为 单一 失效 点 , 当 DKD 发 生 故障 时 , 则 导致 整个 通信 组 无 法 
工作 。 
K DED 全 局 
K K | K 
AKD, AKD; AKD; 
m m m m m m m m m 
局 部 组 局 部 组 局 部 组 


图 4.2.9 域内 组 密 钥 管理 
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3. 双重 加 密 协议 

双重 加 密 协 议 (dual-encryption protocol,DEP)C9 通过 双重 加 密 解 决 了 其 他 模式 中 第 
三 方 ( 子 组 控制 器 ) 必 须 可 信 的 问题 ,通过 双重 加 密实 现在 子 组 管理 器 SGM (subgroup 
manager) 不 可 完全 信任 的 情况 下 ,实现 安全 组 通信 。 该 模式 中 ,由 子 组 管理 器 控制 管理 各 
相应 的 子 组 。 具 有 3 种 密 钥 加 密 密 钥 (KEK) 和 一 个 数据 加 密 密 钥 DEK (data encryption 
key), KEK, 由 SGM, RHA REA KEK, fH GC 与 i 子 组 除 SGM; 之 外 的 组 成 员 持 有 ， 
KEK; 由 SGM, 和 GC 共享 。 

GC 4 DEK 时 , 先 将 DEK 用 KEKs 加 密 , 再 用 KEKs 加 密 , 当 SGM; 收 到 消息 ,用 
KEK; 解 密 , 然 后 用 KEKa 加 密 在 本 地 子 组 内 分 发 , 子 组 用 户 分 别 依次 用 KEK: 和 KEK: fit 
密 , 获 取 DEK。 在 整个 过 程 中 ,作为 第 三 方 的 SGM; 不 必 知 晓 DEK, 所 以 无 法 解密 得 到 原 
始 数据 ,不 需要 具有 高 度 的 信任 关系 。 当 用 户 退出 ,用 户 与 子 组 管理 器 间 共 享 的 密 钥 更 新 ， 
而 数据 加 密 密 钥 未 更 新 时 ,退出 用 户 仍 能 访问 组 内 数据 。 这 成 为 DEP 在 前 向 保密 性 方面 存 
在 的 缺陷 。 


4. Hydra 

Hydra "1 是 一 种 具有 良好 的 可 扩展 性 、 适 用 于 大 规模 通信 组 的 分 散 式 密 钥 管 理 模式 。 
该 模式 中 ,通信 组 分 为 若干 TTL(time-to-leave) 区 域 ,每 个 区 域 由 指定 的 Hydra 服务 器 管 
理 控制 (hydra server, HS), Hydra 不 采用 集中 控制 器 对 Hydra 服务 器 进行 管理 ,而 是 采用 
HS 间 协 同 合作 的 方式 ,这 样 管理 更 灵活 ,避免 了 集中 管理 的 单 失效 点 造成 的 系统 瓶颈 。 为 
使 HS 之 间 同 步 工 作 , 采 用 同步 组 密 钥 分 发 协议 SGKDP (synchronized group key 
distribution protocol), Hydra 中 采用 唯一 的 组 密 钥 , 当 密 钥 更 新 时 ,通过 SGKDP 协议 ,使 
所 有 HS 服务 器 认可 新 的 组 密 钥 。 


5. Kronos 

Kronos!) X& FA mE — HY Sah L 2 3 Jn 855 985 GH s 19] 5 a A SE PE oo P tT EC v 
组 密 钥 在 一 定时 间 周 期 内 产生 。 在 当前 周期 内 ,对 所 有 组 成 员 的 变化 均 进 行 收集 ,在 当前 周 
期 将 结束 .新 组 密 钥 分 发 时 进行 处 理 。Kronos 方案 将 通信 组 分 为 若干 区 域 ,每 个 区 域 有 一 
个 区 域 密 钥 分 发 器 。 此 外 ,具有 一 个 域 级 密 钥 分 发 器 。 所 有 AKD 共同 认可 两 个 密 钥 因子 : 
K.R, ,可 以 通过 安全 信道 从 DKD 获得 。 各 AKD 在 K,R。 基础 上 定期 独立 生成 相同 的 域 
级 数据 加 密 密 钥 (domain-wide data encryption key). 

所 有 AKD {EH NTP (network time protocol) 进 行 时 钟 同步 ,保证 不 同 AKD 进行 的 定 
期 密 钥 更 新 是 同步 的 。 各 AKD 生成 域 级 数据 加 密 密 钥 的 过 程 : Ri = Ex (Ro) Ri = 
Ek (Ri) ,其 中 下 为 对 称 加 密 操 作 。Kronos 方案 无 集中 控制 器 , 域 级 数据 加 密 密 钥 由 各 
AKD 自行 独立 产生 ,容错 性 强 。 其 缺陷 在 于 : 在 密 钥 因子 的 基础 上 产生 密 钥 , 密 钥 被 破坏 
的 可 能 性 加 大 ,安全 性 变 差 。 
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1, IOLUS 
在 集中 式 组 通信 密 钥 管理 方案 中 ,由 于 集中 控制 的 存在 ,中 央 控 制 器 容易 成 为 系统 的 瓶 
颈 。 中 央 控 制 器 的 故障 会 导致 整个 安全 组 通信 系统 所 依赖 的 唯一 组 密 钥 生成 和 分 发 中 断 ， 
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发 生 1-affect-n 问题 。 要 有 效 地 提高 系统 的 鲁 棒 性 ,可 以 采用 IOLUS™) 管理 方案 。 

如 图 4. 2. 10 所 示 ,IOLUS 将 通信 组 成 员 分 为 若干 子 通 信 组 , 子 通信 组 由 组 安全 中 间 节 
点 GSI(group security intermediary) 控 制 构 建 自 治 域 ,由 GSI 控制 在 子 通信 组 范围 内 进行 
密 钥 管理 ;各 GST 与 组 安全 控制 中 心 GSC(group security controller) 构 建 上 一 级 的 通信 组 ， 
由 GSC 控制 构建 自治 域 ,管理 各 GSI 的 密 钥 更 新 、 创 建 和 分 发 。 随 着 用 户 的 增加 ,可 以 构建 
下 一 级 的 自治 域 ,形成 一 种 分 布 安 全 树 结构 。 如 图 4. 2. 10 所 示 。G! ,G* G^ G^ ,G3 G^ 
分 别 构成 自治 域 ,其 中 G 为 顶级 通信 组 ,G*,G”,G”* 为 一 级 通信 组 ,G”,G* 为 二 级 通信 
组 ,依次 类 推 。 


cep ES 


os d 
2 e) = 
2 


图 4.2.10 IOLUS 管理 方案 


基于 这 种 分 级 分 层 的 控制 方式 ,GSC 只 需 管 理 各 一 级 GSI 的 密 钥 更 新 ,可 以 有 效 地 减 
> GSC 负载 ,降低 集中 控制 方式 中 中 心 控制 节点 的 脆弱 性 ,提高 系统 的 可 靠 性 。 各 自治 域 
在 各 自控 制 节点 的 管理 下 ,在 本 自治 域 的 范围 内 进行 密 钥 管 理 ( 密 钥 更 新 消息 不 需要 在 整个 
通信 组 内 更 新 ,只 需 在 本 子 通信 组 内 更 新 ) , 减 小 密 钥 更 新 的 时 间 延 迟 , 提 高 了 密 钥 更 新 的 有 
效 性 。 各 级 的 密 钥 更 新 均 可 以 采用 LKH,LKH 十 ,C-OFT 等 集中 式 控制 模式 。 

IOLUS 中 的 数据 传输 通过 GSI 的 交替 转发 (relay) 实 现 。 如 图 4. 2. 11 所 示 ,数据 传输 
方式 分 为 直接 组 播 (direct multicasting) 和 GSA 辅助 组 播 (GSA-assisted multicasting) 两 
种 。 在 直接 组 播 方式 中 ,发 送 方 通过 用 子 组 密 钥 seep 将 数据 加 密 , 直 接 在 本 地 子 组 内 组 播 
数据 ,完成 本 地 子 组 数据 发 送 ;本 组 GSI 接收 到 数据 ,首先 将 数据 密 文 解密 ,并 用 上 层 组 密 
钥 加 密 ,然后 进行 跨 组 转发 发 送 。 在 GSA 辅助 组 播 方式 中 ,发 送 方 用 私 钥 K asame 加 密 数 
据 , 单 播 给 GSI, GSI 解密 ,然后 分 别 用 本 组 组 密 钥 和 上 层 组 密 钥 加 密 ,分别 完 成 本 地 和 跨 组 
数据 发 送 。 采 用 这 种 方式 可 以 避免 出 现 子 组 密 钥 人 csswsg 过 期 问题 。 

IOLUS 的 主要 缺陷 在 于 ,GSI 参与 数据 传输 中 进行 数据 加 解密 处 理 和 数据 转发 ,开销 
较 大 ,使 数据 传输 路 径 发 生 改 变 , 容 易 形 成 系统 瓶颈 ;另外 ,IOLUS 中 要 求 所 有 GST 具有 完 
全 信任 关系 。 

2. 加 密 序列 

加 密 序列 模式 CS(cipher sequences) 中 采用 非 对 称 式 加 密 方式 ,各 中 间 节 点 采用 不 同 
的 密 钥 进行 加 密 操 作 ,中 间 节 点 无 需 解 密 出 原始 数据 ,也 不 需要 具有 完全 信任 关系 ,适用 于 
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(a) 直接 组 播 (b) GSA 辅助 组 播 
图 4.2.11 IOLUS 数据 传输 方式 


小 规模 组 数据 的 加 密 传输 。 

CS 方案 中 引入 加 密 组 (cipher group) HEA. PM f(S,a) 为 加 密 组 ,如 果 两 个 元 素 序 
列 : a, CI in) Al S; COS in. S, 为 初始 值 ) ,有 S; — f Sii aD BIF G, ij WW 
PC OWE S= hiy Gp. 

加 密 序列 模式 采用 树 结 构 ,S。 为 要 组 播 的 信息 。 如 图 4. 2. 12 所 示 ,每 个 圆 形 非 叶 子 节 
点 Ni 分 配 一 个 wii 二 1, 各 节点 N; 可 以 提供 S 函数 运算 。 方 形 叶子 节点 对 应 有 函数: So 一 
hom(S,)。 原 始 数 据 信 息 经 过 从 根 节点 到 用 户 节 点 路 径 上 中 间 节 点 的 逐次 加 密 运 算 
f Gia a0 ,在 用 户 节点 可 以 通过 5 二 ho,,(S,) 还 原初 原始 数据 。 特 点 在 于 采用 非 对 称 式 加 
密 操作 ,各 中 间 节 点 进行 加 密 时 采用 的 密 钥 均 不 同 , 中 间 节 点 无 需 知道 原始 数据 ,也 不 需要 
完全 信任 支持 。 缺 陷 在 于 限于 非 对 称 加 密 方式 ,只 适用 于 小 规模 数据 的 加 密 传输 。 


=| So=hoa(S4) 


i 


图 4.2.12 加 密 序列 (cipher sequence) 


综 上 所 述 , 现 有 密 钥 管理 方案 所 能 保证 的 特性 存在 着 很 大 的 差异 性 。 很 多 方案 在 兼顾 
多 方面 特性 的 基础 上 ,着 重 保证 某 方 面 的 特性 。 如 定期 / 批 处 理 密 钥 更 新 虽然 能 够 提供 高 效 
的 密 钥 网 络 更 新 效率 ,但 却 牺 牲 了 一 定 程 度 的 安全 性 ;双重 加 密 协 议 无 需 中间 控 制 器 完全 可 
信任 ,但 需要 通过 增加 通信 密 钥 数 量 和 加 密 / 解 密 计 算 开 销 来 达到 该 目标 。 所 以 ,在 安全 组 
通信 中 ,确定 密 钥 管 理 方案 应 遵从 应 用 的 特点 加 以 考虑 ,寻求 最 佳 管理 方案 。 
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4.2.6 分布 式 组 密 钥 管理 


4261 非 协商 模式 


分 布 式 LKH 管理 D-LKH (distributed LKH)™ 取消 中 央 控 制 器 ,没有 任何 实体 能 获 
知 所 有 的 密 钥 ,没有 子 组 ;不 同 子 树 之 间 认 同 相互 之 间 的 通信 密 钥 。 

分 布 式 单 向 函数 树 管理 DISEC59 是 将 单 向 函数 树 管理 方式 拓展 到 分 布 式 控制 中 ,取消 
集中 控制 器 。 每 个 组 用 户 具有 完全 的 信任 关系 ,可 以 进行 访问 控制 和 密 钥 生成 。 用 户 负责 
生成 自身 的 密 钥 并 发 送 给 它 的 兄弟 节点 。 下 一 节 我 们 将 提出 一 种 新 的 基于 单 向 函数 的 分 布 
式 密 钥 管理 方案 ,并 与 DISEC 进行 性 能 比较 。 

VersaKey[9 采 用 分 布 式 平面 表 管 理 方式 (distributed flat table. D-FT) ,通信 组 中 没有 
指定 的 组 控制 器 。 每 个 组 用 户 都 掌握 与 其 相关 的 KEK ,都 可 以 完成 接纳 控制 管理 和 其 他 管 
理 功能 。 此 外 ,由 于 这 些 管理 功能 很 容易 迁移 到 其 他 节点 ,所 以 这 种 管理 方式 具有 良好 的 适 
应 性 ,可 以 克服 节点 故障 ,具有 自 恢复 性 。 其 缺陷 在 于 ,不 提供 密 钥 协商 机 制 , 用 户 加 入 时 需 
要 和 一 组 用 户 联 系 才 可 以 获知 它 所 需要 的 所 有 密 钥 , 当 多 个 用 户 同时 更 新 同一 密 钥 时 ,同步 
操作 需要 相当 的 时 间 延 迟 。 此 外 ,该 方式 容易 受到 同谋 破解 攻击 。 
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1. CLIQUES 

在 基于 DH 算法 的 密 钥 协商 机 制 中 ,组 通信 中 所 用 密 钥 的 生成 不 是 由 中 心 控制 服务 器 
生成 的 ,而 是 通过 通信 组 成 员 共 同 协商 建立 ,使 得 在 通信 组 密 钥 生成 ,更 新 过 程 中 保持 了 公 
PHE, CLIQUES 细密 钥 管理 方案 利用 Diffie-Hellman 密 钥 协 商 算 法 673 的 扩展 来 实现 组 
密 钥 的 协商 生成 。 

在 CLIQUES 初始 化 中 ,具有 nn 个 组 成 员 的 通信 组 通过 轮 的 协商 获得 组 密 钥 GK 
(图 4.2.13 为 4 用 户 初始 化 的 情况 ): 

CD 确定 所 有 组 成 员 认 可 的 DH 参数 : g,g, 然 后 各 自选 定 一 个 随机 数 Ni ,并 计算 宕 
值 g™; 


(g^, enw, 


, BNN, 


图 4.2.13 4 用 户 的 CLIQUES 初始 化 
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(2) 进行 n—1 轮 协商 : 第 1 个 用 户 吕 计算 S — (e ) ,并 发 送 给 第 2 个 用 户 Uz ;第 2 个 
FAP! U: 计算 S= {gM ,gm ,gm } ,并 发 送 给 第 3 个 用 户 Us ;依次 类 推 , 第 icn] 
用 户 U ,计算 生成 S; 并 发 送 给 用 户 Ui: S; (gh S7 NIS [RELL iJ} U (gh 7j, 

(3) 最 后 一 个 组 成 员 U, 收 到 S,_1, 计 算 S, = (ge 7 IS |kEL[1,n 一 1]), 并 向 其 他 
n 一 1 个 组 成 员 广 播 , 各 组 成 员 收 到 并 计算 GK — g 7 mod qo 

当 有 新 用 户 U,+: 加 入 通信 组 时 ,用 户 U, 首先 更 新 N, 为 N, ,然后 计算 并 发 送 密 钥 基 值 
S, = (ghi S7 V RE [1.5]) U Gg 7 P HABE PI Uu ,然后 ,新 用 户 Una WB S, ,计算 
Spaa = (gM Nea" | RE [1.21) ,并 向 其 他 用 户 进行 广播 ;各 组 成 员 收 到 并 计算 新 的 
GK-gM^ ssrimoddg。 如 图 4.2.14 所 示 , 为 用 户 Us 加 入 通信 组 时 密 钥 更 新 的 情况 。 


图 4.2.14 HJ? Us 加 入 通信 组 的 情况 


当 有 用 户 Up 离开 通信 组 时 ,用 户 U, 计算 新 的 密 钥 基 值 并 向 其 他 用 户 进 行 广播 : S, = 
(g^ S7 NS RELL n—LIARAp) , 除 用 户 Up 之 外 的 组 成 员 收 到 密 钥 基 值 并 计算 新 的 


GK  g^i*:7"; mod g, 如 图 4. 2. 15 Brzs . Jg JH P! Us 离开 组 时 的 情况 。 


图 4.2.15 用 户 Us 离开 通信 组 的 情况 


CLIQUE 的 密 钥 传输 时 间 延 迟 的 复杂 度 为 O(n) , 密 钥 计 算 的 总 计算 量 为 OGUTO ,和 密 钥 
传输 所 占用 的 带宽 为 OG"). Ak, CLIQUE 的 扩展 性 较 差 。 


2. 基于 树 的 组 DH 协商 
基于 树 的 组 DH 协商 TGDH (tree-based group DH key agreement) 99? R Hj Diffie- 
Hellman 算法 替代 单 向 函数 协商 产生 高 层 密 钥 ,可 以 减少 组 用 户 保 存 的 密 钥 数目 。 
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3. Octopus 协议 

Octopus 协议 [外 模式 也 是 基于 Diffie Hellman 协商 。 该 模式 中 ,组 用 户 被 分 为 4 个 子 
组 。 每 个 小 组 内 部 进行 DH 协商 Lag 227^ ,各 子 组 协商 完成 后 ,小 组 间 交 换 协 商 的 
密 钥 基 值 ,进一步 协商 得 到 通信 组 密 钥 。 


4. 会 议 密 钥 协商 

会 议 密 钥 协商 (conference key agreement,CKA)! 沁 通过 函数 实现 所 有 用 户 共 同 参 与 产 
生 组 密 钥 。 该 模式 指定 n 一 1 个 用 户 明 文 广播 他 们 相应 的 密 钥 基 值 ,组 领导 用 每 个 用 户 相应 
的 公 钥 加 密 其 提供 的 密 钥 基 值 并 广播 。 持 有 相应 公 钥 的 用 户 可 以 解密 并 使 用 组 领导 提供 的 
基 值 ,并 计算 组 密 钥 为 GK= fN, h ON) e Hh ON ,其 中 了 为 连接 函数 ,为 单 向 函数 ,w 
为 组 成 员 数 目 ,N; 为 用 户 i 提供 的 密 钥 基 值 。 


5. BD 协议 

Burmester 和 Desmedt 提出 BD 协议 (Burmester/Desmedt Protocol, BDP)? 协议 实现 
高 效 的 密 钥 协商 。 协 商 过 程 只 需要 3 HE 

CD HIP! U; 生成 随机 数 OFT d Zion: 

(2) HP U; 计算 并 广播 X;=(Ziri/2i-1)"; 

(3) FAP! U: 计算 通信 组 密 钥 Zi。，X * X Xi? mod po 


6. STR 协议 
STRC3 方 案 简单 且 具 有 容错 能 力 , 可 以 较 好 地 保证 鲁 棒 性 ,以 运算 的 开销 换取 网 络 传 
输 效率 的 提高 ,适用 于 长 时 间 延 迟 的 广域网 络 环境 。 


7. 典型 密 钥 协 商 管理 方案 比较 

该 类 各 典型 协商 方案 的 比较 情况 见 表 4. 2. 3。 几 种 典型 的 协商 算法 在 协商 轮 数 、 密 钥 
消息 长 度 、 协 商 运 算 次 数 等 性 能 参数 均 有 不 同 。 但 相同 的 是 几 种 方案 在 进行 密 钥 传输 时 均 
只 适合 采用 媒体 无 关 信 道 方式 。 这 是 由 密 钥 通过 协商 生成 且 数据 源 不 固定 的 特点 所 决 
定 的 。 


表 4.2.3 多 方 合作 应 用 模式 典型 密 钥 协商 管理 方案 比较 


消息 长 度 
密 钥 协商 管理 方案 协商 轮 次 “| 客运 算 次 数 | 鲁 棒 性 保证 
单 播 组 播 

用 户 加 入 1 1 1 

用 户 离 开 1 3n/2+2 0 1 
STR 容易 

组 分 裂 1 3n/2+2 0 1 

组 合并 2 3k 2 1 

用 户 加 入 2 2n 1 1 

用 户 离开 1 n 0 1 
CLIQUES 难 

组 分 裂 1 n 0 1 

组 合并 k+3 n+2k n+2k—1 2 
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续 表 
消息 长 度 
密 钥 协 商 管理 方案 协商 轮 次 | TZAKA | 鲁 棒 性 保证 

单 播 组 播 

用 户 加 入 2 logn 0 3 

用 户 离开 1 logn 0 1 

TGDH 容易 

EE OCogn) O(logn) 0 O(logn) 

组 合并 2 logn 0 3 

Octopus (n—4)/2+2 n/A 难 3n—4 0 

BDP 3 nl 容易 0 2n 

CKA 3 容易 n—l n 


注 : ”为 通信 组 用 户 数 ; 为 组 合并 时 新 加 入 的 用 户 数 。 


4.2.7 当前 研究 热点 
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对 于 集中 式 安全 组 通信 密 钥 管 理 方案 而 言 , 中 央 控 制 节 点 (组 控制 器 ) 是 单 失效 节点 , 它 
的 故障 会 导致 整个 通信 组 的 故障 。 其 他 两 种 方案 (分 散 、 分 布 ) 均 非 集中 式 控制 ,可 以 有 效 地 
避免 由 于 组 控制 中 心 节点 (GC) 负 载 过 重 故障 等 问题 使 之 成 为 系统 的 瓶颈 ,从 而 降低 系统 
的 脆弱 性 ,但 同样 具有 不 易 管 理 等 缺点 ;所 以 ,如 何 避 免 各 种 管理 模式 中 的 缺陷 ,弥补 不 足 ， 
提高 组 通信 系统 的 可 靠 性 是 至 关 重 要 的 。 可 和 否 在 安全 组 通信 密 钥 管理 的 过 程 中 引入 延 时 重 
发 和 消息 握手 机 制 ( 密 钥 更 新 消息 发 送 后 ,发 送 者 等 待 接收 者 反馈 确认 信息 ,特定 时 间 间 隔 
内 未 收 到 确认 信息 , 视 情 况 重 发 密 钥 更 新 消息 或 将 无 反馈 信息 的 节点 作 失 效 节点 处 理 ) ,在 
密 钥 分 发 .更 新 等 过 程 中 确保 re-key 消息 可 靠 传 递 , 或 引入 密 钥 恢复 机 制 ,以 增 大 密 钥 更 新 
消息 的 长 度 为 代价 换取 密 钥 更 新 的 可 靠 性 都 是 非常 值得 研究 的 问题 。 

所 以 ,需要 在 安全 组 通信 的 密 钥 管理 方案 中 引入 密 钥 恢复 机 制 , 保 证 密 钥 更 新 的 可 靠 
性 。 文 献 L[3,9] 提 出 了 在 不 可 靠 的 网 络 上 进行 大 规模 动态 组 密 钥 管理 的 方法 。 在 不 可 靠 的 
网 络 上 , 密 钥 更 新 消息 可 能 在 传输 过 程 中 丢失 而 不 能 到 达 目 的 节点 。 这 种 情况 下 ,用 户 可 以 
通过 请 求 组 控制 器 进行 消息 重 传 ,但 重 传 将 增加 网 络 带宽 开销 。 在 Keystone? fl ELK" Jy 
案 中 ,用 户 无 需 与 组 控制 器 进行 交互 ,也 无 需 进 行 附加 的 重 传 操 作 , 即 可 自身 恢复 密 钥 。 它 
们 通过 扩展 附加 密 钥 更 新 信息 来 防止 密 钥 消息 丢失 。Keystone 和 ELK 分 别 采 用 错误 更 正 
编码 (error correction code) 和 线索 (hints) 来 恢复 密 钥 信息 。 此 外 ,文献 [10] 提 出 了 一 种 自 
恢复 密 钥 分 发 机 制 , 扩 展 了 文献 [11,12] 中 提出 的 子 集 差 异 密 钥 更 新 技术 (subset difference 
re-keying techniques)。 文 献 [10] 提 供 的 机 制 可 以 保证 用 户 在 离线 一 段 时 间 的 情况 下 ,能 够 
在 它 重新 返回 时 立刻 恢复 新 的 通信 组 密 钥 。 

综 上 所 述 ,将 密 钥 恢复 机 制 引 入 ,使 之 与 密 钥 管理 方式 融合 ,以 提高 组 通信 系统 的 可 靠 
性 研究 是 有 意义 的 ,而 且 是 可 行 的 。 
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将 安全 组 通信 放 在 具体 的 网 络 环 境 中 进行 研究 ,应 更 多 地 考虑 网 络 环境 的 特点 ,并 将 组 
通信 密 钥 管理 进行 完善 ,以 适应 网 络 环境 的 要 求 。 

组 通信 密 钥 管理 的 研究 可 以 结合 应 用 层 网 络 的 研究 进行 。 将 组 通信 密 钥 管理 机 制 与 应 
用 层 组 通信 的 框架 结构 进行 有 机 的 组 合 .可 以 提高 系统 的 安全 性 , 且 这 种 方案 符合 应 用 层 网 
络 的 相关 特点 。 

组 和 组 通信 的 概念 是 P2P 系统 的 基础 ,前 面 讨论 的 分 布 式 组 通信 密 钥 管理 方式 很 容易 
推广 到 P2P 应 用 中 。 在 P2P 编程 框架 中 ,广泛 支持 组 的 创建 和 维护 以 及 组 内 节点 通信 5 。 
但 是 ,P2P 系统 的 安全 问题 还 或 待 研究 和 解决 。P2P 系统 中 缺少 中 央 授 权 机 制 。 附 属 关系 
和 授权 的 管理 由 组 内 用 户 共同 完成 实现 。 所 以 ,组 通信 和 密 钥 管 理 的 核心 问题 由 密 钥 分 发 的 
高 效 性 转变 为 组 通信 密 钥 的 协商 建立 。 此 外 ,更 为 重要 的 问题 是 安全 策略 以 及 组 信任 关系 
的 确定 。 因 为 P2P 系统 没有 集中 管理 机 制 ,所 以 系统 中 一 个 很 重要 的 问题 就 是 信任 问题 。 
虽然 近期 在 信任 关系 管理 方面 已 经 作 了 大 量 的 研究 ~ 外 ,但 是 信任 协商 和 安全 策略 还 存在 
大 量 的 问题 值得 研究 。 所 以 在 P2P 网 络 环境 下 ,安全 组 通信 密 钥 管理 与 组 成 员 信任 关系 的 
研究 不 仅 是 必要 的 ,而且 是 可 行 的 。 

无 线 通信 技术 的 发 展 , 使 无 线 网 络 成 为 当前 研究 的 一 个 热点 问题 。 无 线 网 络 具有 与 生 
俱 来 的 组 播 通信 特性 59 ,所 以 安全 组 播 通信 的 研究 可 以 应 用 在 无 线 网 络 环境 。 但 无 线 网 络 
环境 下 的 安全 组 通信 密 钥 管理 的 研究 要 考虑 到 无 线 网 络 环境 较 之 有 线 网 络 所 具有 的 不 同 特 
点 。 无 线 网 络 相 对 有 线 网 络 的 不 同 特点 主要 是 : 网 络 带宽 、 网 络 传输 介质 的 可 靠 性 。 所 以 ， 
无 线 环境 下 的 安全 组 通信 密 钥 管理 的 研究 应 注意 考虑 提高 可 靠 性 和 降低 网 络 带宽 开销 的 问 
题 。 移 动 网 络 组 用 户 节点 的 移动 特性 (mobility) 增 加 了 组 通信 密 钥 管理 机 制 研究 的 难度 。 
有 具有 良好 适应 性 的 移动 组 通信 中 的 密 钥 管理 方式 应 该 能 够 在 不 干扰 网 络 无 缝 连接 特性 的 情 
况 下 ,在 网 络 间 移动 ,同时 不 会 离开 安全 通信 组 。 当 用 户 从 一 个 网 络 移动 到 另 一 个 网 络 时 ， 
网 络 的 可 信任 性 是 安全 组 通信 要 考虑 的 关键 问题 。 


4273 身份 认证 的 研究 


在 安全 组 通信 中 ,组 通信 数据 源 和 通信 组 成 员 身 份 的 认证 是 重要 的 安全 特性 ,包括 用 户 
身份 认证 和 数据 源 认证 。 通 过 通信 组 成 员 的 身份 验证 ,确保 只 有 具有 合法 身份 的 用 户 可 以 
加 入 通信 组 ,参与 通信 组 内 的 数据 传输 ,确保 非 组 成 员 无 法 生成 有 效 的 认证 信息 ,进而 无 法 
冒充 组 成 员 接收 组 通信 报 文 ,可 以 拒 非法 企图 窃取 组 通信 数据 者 于 通信 组 之 外 。 通 过 数据 
源 身份 认证 可 以 确保 其 身份 的 合法 性 ,确保 数据 源 对 发 送 的 数据 负责 ,保证 不 可 否认 性 。 目 
前 ,最 具 代 表 性 的 身份 验证 方法 是 基于 权威 机 构 颁发 的 公 钥 证 书 的 PKI 认证 方式 。 其 他 简 
单 的 认证 方式 也 有 ,如 基于 预先 共享 密 钥 (pre-shared key) 的 认证 方式 等 。 根 据 应 用 安全 性 
的 要 求 ,针对 具体 算法 进行 身份 认证 方面 的 研究 ,提高 组 通信 的 安全 性 具有 重要 的 研究 价 
值 。 如 何 将 用 户 身份 认证 与 安全 组 通信 密 钥 管理 机 制 相 结合 具有 很 大 的 研究 空间 。 


4274 安全 多 媒体 传输 中 的 密 钥 管理 
组 通信 密 钥 管 理 方案 可 以 结合 视频 安全 组 通信 应 用 的 具体 特点 进行 相应 的 研究 ,以 确 
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保 视 频 组 通信 中 的 安全 性 、 可 靠 性 、 健 壮 性 和 高 效 性 ,如 针对 小 范围 内 的 视频 组 通信 应 用 (如 
视频 会 议 ) ,进行 基于 Diffie-Hellman 算法 的 密 钥 协 商 方案 的 研究 ;针对 组 成 员 完全 分 布 的 
视频 组 通信 应 用 (如 pay-per-view 付费 视频 点 播 ) ,进行 安全 组 通信 框架 方案 的 研究 。 

现 有 组 密 钥 管理 的 研究 成 果 主 要 集中 在 系统 的 安全 性 的 保证 和 实现 上 。 在 现 有 研究 成 
果 的 基础 上 ,应 提高 视频 安全 组 通信 系统 方案 的 可 靠 性 和 健壮 性 。 上 述 两 种 方案 均 非 集中 
式 控制 ,可 以 有 效 地 避免 由 于 组 控制 中 心 节点 (GC) 负 载 过 重 .故障 等 问题 使 之 成 为 系统 的 
瓶颈 ,降低 系统 的 脆弱 性 ;同时 ,引入 延 时 重 发 和 消息 握手 机 制 ( 密 钥 更 新 消息 发 送 后 ,发 送 
者 等 待 接收 者 反馈 确认 信息 ,特定 时 间 间 隔 内 未 收 到 确认 信息 , 视 情 况 重 发 密 钥 更 新 消息 或 
将 无 反馈 信息 的 节点 作为 失效 节点 来 处 理 ) ,在 密 钥 分 发 .更 新 等 过 程 中 确保 re-key 消息 可 
靠 传 递 。 

采用 组 入 媒体 信道 传输 方式 (media-dependent channel) ,将 密 钥 生 成 、 分 发 .更 新 的 消 
息 包 嵌 入 视频 媒体 数据 流 进行 传输 , 减 小 密 钥 相关 消息 数据 被 嗅 探 , 截 获 的 可 能 性 ,提高 系 
统 的 安全 性 ,如 图 4. 2. 16 所 示 。 结 合 密 钥 消息 嵌入 ,改进 re-key 消息 格式 ,提高 消息 传递 
和 密 钥 更 新 效率 。 


媒体 数据 密 钥 信息 媒体 数据 密 钥 信 息 


图 4.2.16 密 钥 消息 嵌入 媒体 信道 传输 


4275 特性 间 的 权衡 研究 


通过 特性 间 权 衡 的 研究 可 以 使 密 钥 管理 方案 在 多 方面 特性 之 间 加 以 权衡 ,最 终 找到 一 
种 方案 满足 特定 应 用 的 需求 。 

权衡 模式 : 在 组 通信 密 钥 管理 中 ,需要 在 管理 效率 和 计算 开销 、 管 理 效率 和 安全 性 、 管 
理 效率 和 组 通信 系统 可 靠 性 ( 密 钥 恢复 )\ 存 储 开 销 和 网 络 带宽 占用 等 诸多 因素 之 间 进 行 权 
衡 。 如 集中 式 密 钥 管理 中 ,因为 要 保证 用 户 离开 时 的 前 向 隐私 性 , 才 采 用 层次 (LKH) 进 行 
密 钥 的 管理 组 织 ,而 这 种 方法 是 牺牲 密 钥 管理 的 效率 换取 安全 性 ;而 单 向 函数 树 (C-OFT) 、 
单 向 函数 链 树 (OFCT) 是 通过 增加 计算 开销 ,换取 密 钥 更 新 消息 长 度 的 减 小 。 文 献 L2] 采 用 
的 方法 以 提高 通信 开销 换取 控制 器 存储 空间 占用 的 减少 。 该 方式 提供 一 个 可 变 的 工作 点 ， 
可 以 根据 给 出 的 要 求 进行 设置 。 文 献 L4] 提 出 的 方法 同样 是 以 提高 通信 开销 换取 控制 器 存 
储 空间 占用 的 减少 。 还 有 的 方法 是 放松 系统 抗 同谋 破解 的 力度 换取 存储 开销 和 通信 开销 的 
减少 。HySOR 吕 采用 混合 结构 ,将 LKH 层次 管理 与 LORE 结合 使 用 。LORE 具有 良好 的 
通信 性 能 , 却 不 能 抗 同谋 破解 而 LKH 具有 抗 同 谋 能 力 。 两 者 使 用 的 结合 是 在 性 能 和 抗 同 
谋 能 力 方面 的 权衡 。 

批 处 理 模 式 : 文献 [49,50] 提 出 在 通信 组 中 ,以 定时 的 批 处 理 密 钥 更 新 模式 替代 每 次 组 
用 户 关系 变化 就 进行 一 次 密 钥 更 新 的 操作 模式 ,这 实际 上 是 安全 性 和 性 能 之 间 的 权衡 。 采 
用 定时 或 者 批 处 理 密 钥 更 新 可 以 同时 减 小 密 钥 服务 器 的 处 理 开销 和 通信 开销 ,同时 提高 密 
钥 管 理 协议 的 性 能 和 可 扩展 性 ,而 在 一 定 程度 上 损失 了 安全 性 。 文献 [49] 提 出 的 平面 模式 
使 用 布尔 最 小 化 技术 BFM(Boolean function minimization) 可 以 将 多 个 用 户 离开 需要 的 密 
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钥 更 新 消息 减少 到 1 个 。Kronost5 是 采用 定期 密 钥 更 新 的 分 散 式 密 钥 管 理 方式 。 组 密 钥 
在 一 定时 间 周 期 内 产生 ,在 当前 周期 内 ,所 有 组 成 员 的 变化 均 进行 收集 ,在 周期 将 结束 .新 组 
密 钥 分 时 进行 处 理 。 

自 恢复 模式 : 文献 [3,9] 提 出 了 在 不 可 靠 的 网 络 上 进行 大 规模 动态 组 播 组 密 钥 管理 的 
方法 。 在 不 可 靠 的 网 络 上 , 密 钥 更 新 消息 很 可 能 丢失 而 不 能 到 达 目 的 节点 ,在 这 种 情况 下 ， 
用 户 若 请 求 组 控制 器 进行 重 传 ,势必 增加 网 络 开销 。Keystoner 和 ELKG 通 过 采用 非 交互 
的 方式 研究 解决 这 一 问题 。 用 户 无 需 与 组 控制 器 进行 交互 以 获得 丢失 的 密 钥 信息 ,也 无 需 
进行 附加 的 重 传 操作 , 即 可 自身 恢复 密 钥 。 它 们 通过 在 密 钥 分 发 后 扩展 附加 密 钥 更 新 信息 
来 防止 丢 包 。Keystone 采用 错误 更 正 编码 (error correction code) 来 生成 以 往 组 密 钥 信息 ， 
而 ELK 采用 线索 来 生成 更 新 后 的 密 钥 。 同 时 ,必须 确保 新 用 户 不 能 通过 此 种 方式 恢复 出 
以 往 的 组 密 钥 而 破坏 组 播 的 后 向 隐私 性 。 此 外 ,两 种 模式 是 基于 状态 管理 的 。 文 献 [10] 提 
出 了 一 种 自 恢 复 密 钥 分 发 机 制 ,扩展 了 文献 [11,12] 中 提出 的 子 集 差异 密 钥 更 新 技术 
(subset difference re-keying techniques)。 文 献 [10] 提 出 的 机 制 可 以 实现 用 户 在 离线 一 段 
时 间 的 情况 下 , 可 在 它 重 新 返回 时 立刻 恢复 新 的 组 播 组 密 钥 。 

综 上 所 述 ,对 密 钥 管理 方案 的 多 方面 特性 之 间 进 行 权 衡 研 究 ,可 便于 我 们 找到 更 加 适合 
应 用 要 求 的 密 钥 管理 方式 。 


4.2.8 不 同方 案 的 应 用 环境 


综 上 所 述 ,在 安全 组 通信 应 用 中 ,我 们 应 该 根据 应 用 特点 选择 .完善 密 钥 管理 方案 

(1) 集中 式 密 钥 管理 方案 便于 管理 和 实现 , 密 钥 管理 服务 器 和 数据 服务 器 可 以 集中 、 统 
一 部 署 。 但 采用 该 类 方案 要 注意 解决 中 央 服 务 器 的 单 失效 节点 问题 。 

(2) 在 用 户 节点 运算 处 理 能 力 较 强 ,而 网 络 带宽 资源 紧张 的 组 通信 应 用 系统 中 ,应 考虑 
采用 以 计算 开销 换取 网 络 传输 效率 的 密 钥 管 理 方案 ,如 COFT09 ,OFCTC9 等 。 

(3) 在 不 需要 保证 前 向 隐私 性 的 组 通信 应 用 系统 中 ,应 优先 考虑 GCP"), SMKD?) 
等 密 钥 管理 方案 ,可 以 有 效 提高 密 钥 管理 的 效率 ;在 对 抗 同谋 破解 要 求 较 低 的 情况 下 ,可 以 
考虑 采用 CFT" ,D-FTO9 管 理 方案 。 

(4) 在 多 级 数据 服务 器 构建 的 组 通信 系统 中 ,可 以 选择 分 散 式 密 钥 管理 方式 以 获得 不 
同 的 管理 特性 , 见 表 4. 2. 4。 


表 4.2.4 特定 需求 方案 总 结 


安全 组 通信 应 用 需求 实现 方法 采用 方案 
完 售 任 的 点 
BRUSESEERTHNRTA wp: cR 
对 密 钥 管 理 的 效率 要 求 高 而 对 前 向 \ 后 | o : KGonos, 
向 隐私 性 要 求 较 低 定期 批 处 理 密 铀 更 新 MARKS 等 
采用 媒体 相关 隧道 进行 密 钥 传输 引 人 密 负 恢复 机 制 或 应 用 层 可 |。 Keystone,ELK 等 
靠 性 保证 
mcm 问题 分 散 控制 .局 部 密 钥 更 新 IOLUS 等 
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(5) 在 要 求 平等 参与 组 密 钥 GK 生成 的 组 通信 系统 中 ,应 考虑 采用 分 布 式 密 钥 协商 方 
案 。 但 该 类 方案 一 般 需要 较 大 的 计算 开销 ,需要 用 户 节点 具有 较 强 的 运算 能 力 。 

目前 ,组 通信 和 密 钥 管理 研究 多 限于 方案 本 身 的 安全 性 、 可 扩展 性 方面 的 研究 ,存在 着 与 
具体 应 用 结合 研究 得 不 够 等 问题 。 在 今后 的 研究 中 ,把 组 通信 密 钥 管理 的 研究 与 组 通信 的 
具体 应 用 相 结合 ,如 视频 安全 点 播 `.P2P 应 用 无线 传 感 器 网 络 、 移 动 网 络 等 ,以 寻求 最 佳 的 
密 钥 管理 方案 , 仍 具 有 重要 的 研究 意义 和 实用 价值 。 

此 外 ,就 组 密 钥 管理 方案 本 身 而 言 , 根 据 当 前 组 密 钥 管理 研究 的 热点 问题 和 研究 趋势 来 
看 ,我们 认为 对 如 下 3 个 主题 展开 深入 的 研究 仍 很 有 必要 性 : 

CL) 组 密 钥 分 发 协议 的 鲁 棒 性 : 如 何在 不 可 靠 、 易 受 攻击 和 开放 的 组 通信 环境 中 保证 
组 密 钥 能 被 可 靠 地 分 发 和 更 新 ,也 即 要 求 协议 具备 一 定 的 容 侵 和 容错 特性 。 

(2) 组 密 钥 分 发 协议 的 可 扩展 性 : 如 何 对 较 大 规模 的 动态 组 用 户 群 进行 有 效 的 组 密 钥 
管理 。 

(3) 组 密 钥 分 发 协议 的 动态 性 能 : 如 何在 组 用 户 频 繁 参与 或 退出 组 通信 的 情况 下 保持 
协议 的 动态 稳定 性 。 

围绕 如 上 3 个 主题 的 研究 ,最 近 几 年 已 有 很 大 进展 。 但 考虑 到 组 通信 的 实际 复杂 性 ,组 
密 钥 管理 的 研究 依然 有 很 大 的 改善 空间 。 组 密 钥 分 发 协议 的 鲁 棱 性 、 可 扩展 性 和 动态 性 能 
仍然 是 组 密 钥 管理 研究 工作 中 或 待 解决 的 几 个 重要 问题 ,特别 是 在 复杂 异 构 . 开 放 、 不 可 靠 
和 易 受 攻击 的 实际 组 通信 应 用 背景 环境 中 。 


43 基本 的 组 密 钥 分 发 协议 


通信 加 密 密 钥 TEK 通常 是 用 一 个 公共 密 钥 加 密 数 据 来 实现 的 ,TEK 被 所 有 合法 的 组 
用 户 所 共享 。 如 果 广 播 通道 是 开放 的 ,网 络 很 容易 遭 到 非 授权 的 访问 。 因 此 ,即使 数据 被 广 
播 到 整个 网 络 ,要 求 满足 组 播 的 机 密 性 以 防止 非法 用 户 有 权 访 问 机 密 的 内 容 , 而 只 有 合法 用 
户 才 能 够 解密 数据 。 为 了 达到 这 一 目的 , 源 用 户 用 对 称 密 钥 TEK 加 密 数 据 , 目 的 用 户 用 
TEK 解密 数据 。 此 外 ,考虑 到 因 用 户 的 加 入 和 离开 使 得 用 户 拓扑 结构 发 生动 态 变化 ,必须 
更 新 TEK 以 防止 离开 的 用 户 访问 未 来 的 通信 和 新 加 入 的 用 户 访问 以 前 的 通信 。 组 通信 控 
制 器 GC 将 作为 中 央 控 制 节点 全 权 负 责 组 通信 和 密 钥 的 创建 ,分 发 和 组 成 员 关 系 发 生变 化 时 
的 密 钥 更 新 。 

组 密 钥 分 发 协议 的 设计 应 该 同时 考虑 协议 的 安全 性 和 人 性能。 就 性 能 需求 而 言 ,协议 设 
计 应 该 考虑 的 重要 性 能 因素 包括 : 密 钥 更 新 消息 的 带宽 消耗 ,组 密 钥 更 新 消息 长 度 , 组 用 户 
存储 的 密 钥 数量 ,以 及 组 用 户 的 计算 开销 等 。 即 协议 应 该 具备 较 小 的 存储 、 计 算 和 通信 开 
销 。 基 本 的 安全 性 需求 则 包括 5 . O@ 组 密 钥 的 机 密 性 (group key secrecy): 不 是 组 中 的 活 
动用 户 无 权 获 得 用 来 解密 组 中 广播 数据 的 密 钥 ; 前 向 隐私 性 (forward secrecy): 离开 组 
的 用 户 无 权 访 问 后 续 的 组 密 钥 ,这 样 就 保证 了 离开 的 用 户 不 能 解密 后 续 的 通信 数据 ; @ 后 
向 隐私 性 (backward secrecy); 一 个 新 加 入 的 用 户 进入 会 话 后 不 能 访问 任何 先前 的 组 密 钥 ， 
这 样 就 保证 了 用 户 不 能 解密 在 其 加 入 组 之 前 发 送 的 通信 数据 ; @ 抗 同谋 破解 (collusion 
freedom) ; 任何 由 欺骗 用 户 组 成 的 集合 不 能 退出 当前 的 活动 TEK., 
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在 4.1 节 中 ,我 们 提 及 在 本 章 中 将 重点 研究 的 3 个 主题 : 组 密 钥 分 发 协议 的 鲁 棒 性 、 可 
扩展 性 和 动态 性 能 。 在 本 节 中 ,我 们 将 重点 研究 组 密 钥 分 发 协议 的 动态 性 能 , 即 在 组 用 户 频 
繁 参与 或 退出 组 通信 的 情况 下 如 何 保持 协议 的 动态 稳定 性 。 其 他 两 个 主题 : 协议 的 鲁 棒 性 
和 可 扩展 性 将 在 后 续 章 节 中 逐步 探讨 。 

如 何 解 决 用 户 拓扑 频繁 变化 的 密 钥 分 发 协议 的 动态 稳定 性 问题 ? 近年 来 ,国际 上 的 学 
者 已 经 提出 一 些 有 效 的 方法 ,如 LKH , OF TOS), MARKS) , ELK! 和 SD (subset 
difference) 5:59 ,早期 综述 性 的 研究 在 文献 [7,26] 中 可 以 看 到 ,最 近 的 是 文献 L[51]。 考 虑 到 
密 钥 更 新 消息 的 相互 依赖 ,可 撤销 的 组 密 钥 分 发 机 制 被 分 为 两 类 : 无 状态 的 和 有 状态 的 机 
制 。 在 有 状态 机 制 中 ,一 个 有 效用 户 的 状态 在 当前 密 钥 更 新 中 将 会 影响 它 解密 未 来 组 密 钥 
的 能 力 。 然 而 ,在 无 状态 机 制 中 组 密 钥 的 更 新 只 依赖 于 当前 的 密 钥 更 新 消息 和 用 户 的 初始 
配置 。 一 个 不 可 撤销 的 用 户 即 使 只 离线 一 会 儿 , 也 可 以 从 以 前 的 密 钥 更 新 消息 中 独立 地 解 
密 出 新 的 TEK ,而 无 需 依靠 GC。 在 一 些 用 户 不 是 总 在 线 或 突然 遭 到 包 丢 失 的 情况 下 ,这 种 
特点 使 得 无 状态 机 制 非常 有 用 。 

Wallner 45 AU9 fl Wong 等 人 0 提出 了 LKH (logical key hierarchy) 机 制 , 它 是 一 种 
有 效 状态 组 用 户 的 撤销 机 制 ,要 求 每 一 个 用 户 存储 O(logn) 个 密 钥 ,对 每 次 的 密 钥 更 新 操作 
GC 只 广播 21ogn 个 消息 ,其 中 是 合法 用 户 的 数目 。 

无 状态 用 户 撤 销 机 制 首先 由 Fiat 和 Naorc 提 出 ,这 种 机 制 要 求 有 OG! loge) AF fik 
SHAM OU? n log DAWE IF A SRE GC 可 以 撤销 任意 一 个 用 户 , 在 这 些 用 户 中 至 多 有 1 个 
能 够 联合 起 来 得 到 TEK, Blundo 等 人 [*' 引 对 广播 加 密 提 出 了 一 种 无 条 件 的 安全 模型 ,并 
得 到 了 计算 和 存储 开销 的 最 下 界 和 最 上 界 。 后 来 ,Naor 等 人 5 提出 了 两 种 无 状态 撤销 机 
制 , 即 CS 和 SD。 如 果 六 个 用 户 有 logN 个 密 钥 , 则 CS 机 制 可 以 撤销 任意 OCRlog CN/ RO) 
个 消息 中 的 RR 个 用 户 。SD 机 制 尽 管 将 密 钥 更 新 消息 数 减 少 到 OCR) ,然而 O(logN) 个 加 密 
操作 却 将 用 户 存储 开销 增加 到 OClog? ND. LSD (layered subset difference) 不 同 于 SD 机 
制 , 它 将 存储 开销 从 OClog? N) 减少 到 OClog'**N ) ,然而 却 增加 了 通信 开销 。Wang 等 人 提 
出 了 一 种 无 状态 机 制 59 , 它 用 通信 和 计算 开销 减少 了 用 户 的 存储 要 求 。 

针对 开放 的 组 通信 环境 中 这 些 性 能 和 安全 性 需求 ,提出 了 一 种 基本 的 组 密 钥 分 发 协议 
B-GKDS(hasic group key distribution scheme) 。 该 协议 的 基本 思想 来 源 于 Liu 和 Ning 所 
提出 的 组 密 钥 分 发 协议 65] 中 的 个 人 秘密 分 发 协议 (personel secret distribution protocol) 。 
我 们 在 此 基础 上 作 了 改进 ,使 其 能 够 适应 于 组 通信 中 的 密 钥 分 发 。 尽 管 B-GKDS 协议 只 是 
本 文 后 续 相 关 组 密 钥 分 发 协议 的 原型 ,然而 它 提供 了 一 种 简捷 、 实 用 的 组 用 户 动 态 管理 机 
制 , 显 式 (explicit) 用 户 撤 销 机 制 。 该 机 制 能 在 组 用 户 频 繁 参与 或 退出 组 通信 的 情况 下 保证 
协议 良好 的 动态 稳定 性 ,并 且 能 够 满足 基本 的 组 通信 安全 需求 ,如 组 密 钥 的 机 密 性 、 前 向 隐 
私 性 ,后 向 隐私 性 和 抗 同谋 破解 。 

B-GKDS 协议 中 的 组 用 户 撤销 算法 具有 较 小 的 计算 和 通信 开销 ,这 使 得 B-GKDS 协议 
能 够 适应 于 网 络 中 动态 用 户 拓 扑 结构 多 变 的 组 通信 环境 。 在 B-GKDS 协议 中 ,组 密 钥 被 周 
期 性 地 更 新 而 不 是 在 每 个 用 户 的 拓扑 变化 中 更 新 。 周 期 性 或 批量 的 组 密 钥 更 新 能 够 显著 地 
减少 GC 和 用 户 之 间 的 计算 和 通信 开销 ,因此 能 够 有 效 地 改善 组 密 钥 分 发 协议 的 性 能 和 扩 
展 性 。 
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4.3.1 信息 论 概述 


我 们 将 利用 信息 炉 概 念 来 定义 和 描述 组 密 钥 分 发 协议 模型 ,并 利用 信息 泄露 的 分 析 技 
术 来 讨论 相关 协议 的 安全 性 。 因 此 ,我 们 将 在 本 节 对 离散 粹 和 互信 息 的 基本 概念 及 其 主要 
性 质 进行 简要 介绍 ,主要 内 容 来 源 于 文献 [59] 中 的 相关 章节 。 

信息 论 的 创始 人 Shannon 在 其 1948 年 发 表 的 信息 论 葛 基 性 论文 (通信 的 数学 理论 ) 中 
提出 了 两 个 重要 的 概念 : Centropy) 和 互信 息 (mutual information)。 利 用 这 两 个 概念 ， 
Shannon 对 通信 系统 进行 了 理论 分 析 , 取 得 了 通信 技术 史上 划时代 的 重要 成 果 。 
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RCE fii Bie IE T EE E 9E DU BC E Ie Ut E HEB — Rh EE Rit o 
定义 4.3.1 假定 X 为 一 定义 在 集合 X 上 的 离散 随机 变量 ; 若 X 中 各 事件 的 随机 概率 
DAHP) rex = pis posts Pix } BE: 
MPG) =1, OS Py(x) <1, 


z€X 


则 随机 变量 X AY ES IURE DOE Lg 


HOO = HG pii pix) —— >) pilogp: (4.3.1) 


REEL RIER 五 CX) 可 以 作为 信息 的 度量 。 当 有 多 个 随机 变量 时 ,如 和 X AL, 
J KSB AS [d BBL 26 EE I HG RX) AY) ,以 分 别 表示 随机 变量 X 和 Y d. 

Hii H CXO WE EU YE BE | X | MERE iE p= Cpr spa nt pixi BO PAB PRY A ER C 

TEE 4.3.1. HE ERICH OO RUE PE EER: 

CD 对 称 性 : 概率 矢量 p= Cpr spo ts Pix) e AE HE pis po pixi XOT TE BE EY , 
‘ii PRC CX) S (ELA 8. BIRR RX 总 体 上 的 统计 特征 有 关 ; 

(2) 非 负 性 : Mi RICE E E LB: HOO = HO spo ets pix 005 

(3) 确定 性 : 集合 X 中 只 要 有 一 个 必然 事件 ML 05 

(4) 极 值 性 : 当 集合 X 中 各 事件 以 等 概率 出 现时 ,其 焙 值 五 CX) 为 最 大 , 即 有 : 

HOD = H(pi+ pass pix) < HA/ | X|.1/ | X |.51/ | X |) = log | X |. 

MAER IE BY fft ERA HEAR E AY AA EER DU] G8 69 D E HE RR 
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— AS Bt BL 2E fit AY AR iE HET PA AE dez s A E C BL AE E IE A A AR EE 
Sy fii s DU ET VA AS BBE GHI 5 AE o 
定义 4.3.2 设 二 元 随机 变量 X 和 了 分 别 为 定义 在 集合 X 和 集合 Y 上 的 离散 随机 变 
HOG X MY 的 联合 概率 分 布 为 {Pew(z,y))}:exvyer:' 且 满足 : 
SD Pwlasy) =1, 0<Pwlasy) <1 (4. 3. 2) 


z€X.y€Y 


MZEE t CX YO ASR AEH CXYO GE SOW 
H(XY) = 一 >) MPa (a. y)logPw Gr» y) (4. 3. 3) 


z€X y€Y 
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对 随机 变量 X 和 YY 而 言 Xn EXP — 7c BL AE ht AY AS V E PERET EE. 
定义 4.3.3 SICKLE X Fn Y HRR CX (YO Bog SOS 
HO |Y) =— >) 3I Py G0 Py (x | y)logPxy (z | y) (4.3.4) 


yEY z€X 
AER 也 (XIY) 表 示 在 已 知 一 个 随机 变量 的 情况 下 ,对 另 一 个 随机 变量 的 不 确定 性 的 
度量 。 
性 质 4.3.2. KAR HC XY) MAP H OX YO HYV RRA: 
H(XY) = HY) + H(X | Y) (4.3.5) 
H(XY) = HOO -H(Y | X) (4. 3. 6) 
TEE: 4.3.3 二 元 随机 变量 X MY dH S Pr IRA A OXY) ZEE HOX YO BI 
H(Y|X) 满 足 关系 : 


H(X | Y) = HOO (4.3. 7) 
HY | X) = H(Y) (4.3. 8) 
H(XY) = HOO + HY) (4. 3.9) 
这 表明 , 当 随 机 变量 X 和 Y AED At IE CC Gr PPS BL BE f 8 A TT AR AE 
HSU PDEA P 
性 质 4.3.4 ARTEL PIR I CAR PS A PEE FF de M PIER 
H(X | YO < HOO (4. 3. 10) 
H|X < HY) (4.3.11) 
HOY) < H(X) + HY) (4. 3.12) 


XK, AR P TE ART OL PED FERR. EE i ,由 于 事物 之 间 总 是 有 联系 
的 ;因此 一 般 而 言 , 对 随机 变量 X 的 了 解 总 是 能 使 随机 变量 了 不 确定 性 减少 。 同 样 ,对 随机 
变量 Y 的 了 解 也 会 减少 X 的 不 定性 。 

性 质 4.3.5 若 随 机 变量 和 XX 和 YY 之 间 存 在 确定 的 函数 关系 , 且 X 可 以 完全 确定 Y， 
则 有 : 


Hy | X) =0 (4. 3. 13) 

H(OXY) = HOO (4.3. 14) 
若 Y RIA SE AE X s 

H«X|Y»—0 (4. 3. 15) 

HOY) = HY) (4, 3. 16) 
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对 两 个 随机 变量 和 和 Y, 它 们 之 间 存在 某 种 统计 依赖 关系 。 未 知 Y 时 ,X 的 不 确定 度 为 
HOO;U X Y 的 不 确定 度 为 HH(XIY), 且 有 HC(XIY) 三 HC(X)。 因 此 ,在 了 解 Y 后 ,X 
的 不 确定 度 减 少 为 H(X) 一 H(XIY)。 

定义 4.3.4 为 确切 地 描述 离散 随机 变量 入 和 YY 之 间 相 互 提供 的 信息 量 ,将 变量 政和 
Y 之 间 的 互信 息 TCX;Y) 或 TIY;X) 分 别 定义 为 

I(X;Y) = HOO — H(X | YO (4. 3. 17) 
IY;X) = HYO- HY |X) (4, 3. 18) 
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性 质 4.3.6 随机 变量 X 和 之 间 互 信息 满足 如 下 关系 : 


1(¥;X) = I(X;Y) (4. 3. 19) 
0 < I(X;Y) < min H(X), HOY) (4. 3. 20) 

TER 4.3.7. 当 随 机 变量 X MY 之 间 相 互 统计 独立 时 ,有 : 
I(X;Y) = 1(¥;X) =0 (4. 3. 21) 


性 质 4.3.8. ARAN X MY 之 间 存 在 确定 的 函数 关系 , 则 有 : 

COD 若 站 可 以 完全 确定 了 ,此 时 H(YIX)=0, 则 ICX:YO — HOO s 

(2) 若 了 可 以 完全 确定 X ,此 时 H(X;Y)=0, 0] ICXGGY) HOO. 

因此 ,互信 息 ITCX;Y) 是 对 随机 变量 X n Y 之 间 统 计 依 赖 程度 的 度量 ,这 也 是 互信 息 的 
另外 一 层 含义 。 


4.3.2 基本 的 组 密 钥 分 发 协议 


基本 的 组 密 钥 分 发 协议 属于 集中 式 的 安全 组 密 钥 管理 方案 。 在 该 协议 中 ,由 单一 通信 
实体 担当 中 央 控 制 节点 (组 控制 器 GC) 来 负责 组 密 钥 的 创建 ,分 发 和 组 成 员 关 系 发 生变 化 
时 的 组 密 钥 更 新 。 

本 节 假 定 组 通信 系统 的 组 成 员 和 GC 之 间 有 一 个 统一 的 全 局 时 钟 。 令 m 是 组 通信 系 
统 的 活动 周期 。 为 方便 讨论 ,我 们 假设 m 是 一 个 整数 ,系统 在 0 时 刻 启动 ,在 m 时 刻 停止 。 
相应 地 ,组 通信 系统 的 活动 周期 将 被 划分 成 m 次 会 话 。 我 们 认为 ,组 通信 时 间 周 期 的 限制 
从 相当 程度 上 是 合理 的 , 它 适 用 于 在 不 同时 间 段 采用 不 同 密 钥 加 密 的 安全 组 通信 应 用 中 ,如 
付费 电视 节目 在 不 同时 间 段 采用 不 同 的 组 密 钥 加密 。 

我 们 首先 利用 信息 业 形式 化 地 定义 和 描述 了 基本 的 组 密 钥 分 发 模型 Da(U,t,m); 而 后 
我 们 将 依次 讨论 B-GKDS 协议 的 基本 体系 结构 、 活 动 组 用 户 的 初始 化 ` 组 密 钥 的 更 新 和 恢 
复 机 制 以 及 组 用 户 的 动态 参与 特性 。 
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假设 U 是 所 有 可 能 的 组 通信 用 户 的 集合 ,每 个 用 户 U;SU 在 加 入 第 j 次 会 话 之 前 将 从 
GC 获得 一 个 秘密 私 钥 S; ,该 私 钥 将 在 用 户 U: 被 GC 撤销 前 一 直 为 通信 系统 所 使 用 。 设 RC 
U 是 第 j 次 会 话 中 由 GC 所 撤销 的 组 用 户 , 万 SU 是 第 j 次 会 话 中 新 加 入 的 组 用 户 ,G; SU 
是 第 j 次 会 话 中 合法 的 组 成 员 , 则 有 

G; = (Gm USAR; (4. 3. 22) 

在 每 次 组 会 话 过 程 中 ,GC 将 通过 广播 信道 传输 密 钥 更 新 消息 Bi 。 对 每 个 组 用 户 U; 而 
言 ,组 密 钥 K; 完全 可 由 B; 及 其 秘密 私 钥 S; 决定 。 组 密 钥 的 更 新 要 求 协议 提供 一 种 安全 的 
方法 来 传输 广播 通道 上 的 密 钥 更 新 消息 . 且 满 足 任意 用 户 U; EG 能 够 解密 该 消息 ,而 任何 
在 R; 中 的 用 户 (|R; | 二) 即使 他 们 以 任意 模式 联合 也 不 能 解密 该 消息 2。 

我 们 假定 B-GKDS 协议 的 所 有 操作 均 在 有 限 域 F, 中 进行 ,其 中 9 是 一 个 远大 于 m 的 
KARA, AUCH Pe SCP, 是 下 , 的 子 集 ;组 密 钥 Ki € F, WEP, 集中 的 元 素 。 
设 随机 变量 S; B; 和 K; 分 别 表示 用 户 U; 的 个 人 私 钥 .GC 的 广播 更 新 消息 以 及 第 j 次 组 会 
话 密 钥 , 则 利用 信息 入 的 概念 ,我 们 可 以 将 安全 的 组 密 钥 分 发 协议 B-GKDS 形式 化 地 定义 
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如 下 。 

定义 4.3.5 [BÆ U — (Ui U: U, JEU RT ERU 2H FH P1 E LR; CU 是 第 j 次 会 话 中 
由 GC 所 撤销 的 组 用 户 , 万 SU 是 第 j 次 会 话 中 新 加 入 的 组 用 户 , G = CG UJ; NS; 是 
58 j 次 会 话 中 合法 的 组 成 员 m 表示 组 通信 系统 的 最 大 会 话 次 数 ,t 是 GC 所 能 撤销 的 最 大 
用 户 数 。 则 Ds U ,t,m) 是 一 个 基本 的 组 密 钥 分 发 模型 , 若 满 足 : 

COD 对 组 用 户 UEG 而 言 ,组 密 钥 K; 完全 可 由 B; 及 其 私 钥 S; 决定 , 即 : 

H(K; | Bj.S) 一 0 (4. 3. 23) 

(2) 对 任意 用 户 子 集 BSCU ,1B|<i, 集 合 B 中 的 用 户 不 可 能 获得 用 户 U, € B 的 用 户 私 

钥 Si, 即 : 


HK; +S, | B; sB; s Bis {Si}u,es) = H(K; +8.) (4. 3. 24) 

(3) 不 可 能 单独 从 GC 广播 的 密 钥 更 新 信息 或 组 用 户 私 钥 , 获 得 组 密 钥 , 即 : 
HG, .K; ,天 | By B; +***+By) = HOS KK, (4.3.25) 
H(K, ,K; 7. K, | Si ,SS,) = HOK K; K,) (4. 3. 26) 


(4) Dp (U ,i,m) 能 同时 安全 地 撤销 最 多 1 个 用 户 : 设 每 次 在 会 话 j 被 撤销 的 组 用 户 集 
ÆR =R; UR; 1U…URi(|R|<D), 则 RR 中 的 组 用 户 不 可 能 利用 GC 广播 的 组 密 钥 更 新 信 
BOB; 去 恢复 出 当前 的 组 通信 密 钥 K; , 即 : 

H(K; | B; ,Bj Bi (So) = HOS) (4, 3. 27) 

定义 4.3.5 中 的 性 质 1 一 性 质 3 描述 了 De (U,i,m) 作 为 一 个 组 密 钥 分 发 模型 所 应 满足 

的 基本 安全 属性 。 定 义 中 的 性 质 4 则 形式 化 地 描述 了 Ds (U,i,m) 的 用 户 撤销 机 制 。 考 虑 

到 组 密 钥 分 发 协议 的 安全 性 需求 ,Ds (U,t,m) 还 应 满足 组 密 钥 的 前 向 隐私 性 和 后 向 隐私 性 。 
定义 4.3.6 组 密 钥 管理 协议 Ds (U,t,m) 的 前 向 隐私 性 和 后 向 隐私 性 定义 为 : 

CD MHRA., BE BER, UR U… UR, 表示 在 会 话 r 前 撤销 的 组 用 户 集 , 设 
| B| Se, | B 中 任何 被 撤销 的 组 用 户 之 间 的 密谋 均 无 法 获得 组 密 钥 K;(r<j 志 mmr) , 即 : 

HG, Ka n K, | By ,Bs on B, e (Si )u er Ki Kem K, ) 
—H(K, Ka 7 K,) (4. 3. 28) 

(2) 后 向 隐私 性 。 假 定 FOU 为 在 会 话 s Je JA EDS fei 9 0 A Pe EL P| <e, WEE 
中 的 任何 组 用 户 之 间 的 密谋 均 无 法 获得 组 通信 密 钥 K ; js). Bl 

HK, Kz 天 | By Boen Bue Seer Koi Kus K,) 
=H(K; «Kz Kj) (4. 3. 29) 
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如 图 4. 3.1 所 示 , 在 GC 和 组 用 户 之 间 ,B-GBDS 协议 包含 两 种 基本 的 控制 信息 流 : 
InitGroupKey 和 RefreshKey, InitGroupKey 是 GC 组 用 户 DO 
和 单个 组 用 户 之 间 的 单 播 消息 ,该 消息 在 用 户 加 InitGroupKey 
入 活动 组 的 初始 化 阶段 ,用 来 分 发 对 应 的 秘密 参 。 | 
数 给 用 户 ; 而 RefreshKey 是 GC 在 不 同 的 组 会 话 = 
Bi Be A: HE ENN oi a Gc RA 
播 密 钥 更 新 消息 给 所 有 的 活动 组 用 户 。 户 之 间 的 控制 信息 流 


RefreshKey 
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4323 BGKDS 组 用 户 的 初始 化 


在 B-GKDS 组 用 户 的 初始 化 阶段 ,组 控制 器 GC 随机 地 从 有 限 域 Fu[z] 中 选取 m 个 度 

为 1 的 屏蔽 多 项 式 : 
(Ah; Gr) = host hz d- 7 + hjt Yer, € Fix]. 

随后 ,GC 为 每 个 在 初始 化 阶段 加 入 活动 组 的 用 户 U; 产生 m 个 秘密 私 钥 S; = Un CD. 
hi Go stt shm GO) ,并 通过 InitGroupKey 消息 将 这 m 个 秘密 私 钥 {h GO sho Gi) e hu GO) E 
全 地 分 发 给 用 户 Ui 。 

GC >U; : (Eu, G | AG) | | AG) DMACG | hy D | | ha G) D 

Hep yc 是 时 间 戳 ;MAC(。) 是 产生 消息 验证 码 的 散 列 函数 (如 MDDS") , SHA-159 ; MK; 
是 用 户 U; 5 GC 共享 的 主 密 钥 ,用 于 InitGroupKey 消息 的 加 密 和 验证 。 

U; 一 旦 接收 到 InitGroupKey 消息 ,首先 验证 该 消息 的 真 伪 ; 若 为 真 , 则 U 利用 MK; 
解密 该 消息 并 获得 相应 的 秘密 私 钥 S; = Un CD «ha GO ,… hm GO ) ,并 通过 接收 随后 的 密 钥 
更 新 消息 RefreshKey 来 同步 地 更 新 组 会 话 密 钥 。 


4324 B-GKDS 的 组 密 钥 更 新 机 制 


考虑 组 通信 系统 的 第 j 次 组 密 钥 更 新 。 设 R; 表示 在 会 话 j 阶段 被 撤销 的 组 用 户 集 , 则 
R=R; UR; U UR (RIK ROG; — CO3em te Zh j 之 前 被 撤销 的 所 有 组 用 户 集 。 组 
密 钥 的 更 新 机 制 要 求 提供 一 种 安全 机 制 来 传输 广播 信道 上 的 密 钥 更 新 消息 RefreshKey. VA 
满足 任意 的 活动 用 户 U, EG 能 够 解密 这 个 消息 ,而 任何 尺 中 的 非 活动 用 户 (|RI 近 即使 
他 们 以 任意 模式 密谋 也 不 能 解密 该 消息 。 为 此 ,我 们 构造 如 下 的 广播 消息 B; 

GC * : (w(x) | {R} | MACC) | wj(x))}, 
其 中 ,多 项 式 w(x) =g)(x) * TEK; +h; GO; * 表示 所 有 的 活动 组 用 户 ;hj (z) 是 屏蔽 多 项 
3G TEK, 是 当前 的 组 会 话 密 钥 ;多 项 式 g (z) 则 按 如 下 方式 构造 : 
g(a) = [[(z—7) (4. 3. 30) 
ER 
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当前 的 活动 用 户 U; EG 收 到 广播 消息 B; 时 ,首先 利用 广播 消息 B; 中 的 撤销 用 户 集 
R , 按 式 (4. 3. 30) 构 造 多 项 式 e; Ca ,然后 分 别 计算 多 项 式 w (z+) 和 gr; C FER i IB YL 
w ODM g; C), FFU, ERA g; GO 750, AE. HEP U: 可 以 利用 在 初始 化 阶段 保留 的 
WEA A; OUR wj(i) 和 gj;( 店 值 进一步 恢复 出 当前 的 组 会 话 密 钥 TEK; 。 
TEK; = (w G) — h;G))/g; G) (4. 3. 31) 
MXF R=R; UR; Us UR, (| R| Se) Hak GC 撤销 的 用 户 U, 而 言 ,由 于 {gj; ) = 
0| VU, € R) w; G) —g; GO * TEK; +h; GO =h; Cr) ,因此 ,即使 他 们 密谋 (IR| 达 4) 也 难于 破 
解 该 广播 消息 而 恢复 出 当前 的 组 会 话 密 钥 EK; 。 


4326 用 户 的 动态 参与 机 制 
组 用 户 的 动态 参与 机 制 要求 系 统 在 用 户 加 入 或 离开 活动 组 的 情况 下 ,能 够 有 效 地 保证 
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组 会 话 密 钥 的 安全 性 , 即 密 钥 的 前 向 隐私 性 和 后 向 隐私 性 。 

用 户 离开 : 当 用 户 离开 活动 组 时 ,GC 需要 将 该 用 户 注销 。 假 设 U 是 所 有 可 能 的 组 用 
户 的 集合 ,R 是 被 撤销 的 用 户 集 , 有 RSU。 组 用 户 的 撤销 机 制 要 求 一 种 安全 机 制 来 传输 组 
密 钥 更 新 消息 ,使 得 用 户 U;€ {U\R} 能 够 解密 该 消息 ,而 任何 在 R 中 的 用 户 即 使 他 们 以 任 
意 模 式 同 谋 也 不 能 解密 该 消息 。 

B-GKDS 的 组 用 户 撤销 机 制 隐 含 在 组 密 钥 的 更 新 消息 RefreshKey 中 。 假 设 在 第 j 次 
会 话 中 ,GC 需要 撤销 用 户 U, , 则 只 需要 将 U, 包括 在 广播 消息 B; 的 {R} 中 , 即 U,ER。 由 
于 {gj(7) 二 0| VU, € R) JH P! U 无 法 利用 广播 的 密 钥 更 新 消息 B; 和 他 自己 先前 保存 的 秘 
密 有 (7) 去 恢复 当前 的 组 会 话 密 钥 TEK; 。 我 们 称 这 种 主动 的 组 用 户 撤销 机 制 为 显 式 用 户 
撤销 机 制 ,因为 被 撤销 的 用 户 标识 明确 包含 在 组 密 钥 的 广播 更 新 消息 中 。 

用 户 加 入 : 当 用 户 U, 希望 在 会 话 阶段 ) 加 入 活动 组 时 ,相应 的 处 理 机 制 如 下 : 

CD 用 户 U, 首先 需要 从 GC 获得 加 入 活动 组 的 许可 。 如 果 成 功 ,GC H U, 产生 m—j +1 
AJ Rib EAA (h; Co) Ra CoD us Cv) ) ,并 通过 InitGroupKey 消息 将 秘密 私 钥 { 亡 Co) «ja Cv) + 
du Cv) } FH BK A A U, 。 

GC —U, : (Eu, G | h; GO) | + | A, CO) DMACG | hy Co) | … | hav) DJ. 
其 中 ,MK, 是 用 户 U, 与 GC 共享 的 主 密 钥 ,用 于 InitGroupKey 消息 的 加 密 和 验证 。 

(2) 用 户 U, 一 旦 接收 到 InitGroupKey 消息 ,首先 验证 该 消息 的 真 伪 ; 若 为 真 , 则 U., 可 
以 成 功 地 加 入 到 当前 活动 的 组 通信 中 ,并 通过 接收 随后 的 密 钥 更 新 消息 RefreshKey 来 同步 
更 新 组 会 话 密 钥 TEK;. 


4.3.3 安全 性 和 性 能 分 析 


4331 安全 性 分 析 


这 里 我 们 分 析 B-GKDS 能 否 满足 组 密 钥 的 安全 性 要 求 。 在 如 下 定理 的 推导 过 程 中 ,我 
们 用 随机 变量 K;(j 二 1,2,…,m) 来 表示 对 应 的 组 会 话 密 钥 TEK; (i 二 1,2,…,m)。 

定理 4.3.1 组 密 钥 管理 协议 B-GKDS 能 够 同时 安全 地 撤销 最 多 1 个 用 户 ; 并 且 ,就 信 
息 论 范畴 而 言 ,B-GKDS 是 一 个 无 条 件 安 全 的 组 密 钥 分 发 协议 。 

WEBB. 依据 定义 4.3.5, 假 定 U= (Ui U: ,…,U,} 是 所 有 可 能 的 组 用 户 集 ;RSU 是 第 j 
次 会 话 中 由 GC 所 撤销 的 组 用 户 ;R= 二 Rj; UR;-1U…URi(|R| 三 四 是 在 会 话 j 被 撤销 的 所 有 
组 用 户 集 ; 万 SU 是 第 ) 次 会 话 中 新 加 入 的 组 用 户 ; G= Ga UJ OR 是 第 j 次 会 话 中 合 
法 的 组 成 员 ;m 表示 组 通信 系统 的 最 大 会 话 次 数 ;t 是 GC 所 能 撤销 的 最 大 用 户 数 。 下 面 我 
们 将 证 明 B-GKDS 协议 能 够 满足 Ds (U ,i,m) 所 定义 的 4 条 基本 性 质 。 

首先 我 们 证 明 性 质 1。 根 据 前 述 B-GKDS 协议 的 组 密 钥 恢复 机 制 , 我 们 可 以 知道 , 当 
活动 用 户 U,€G,; 收 到 广播 消息 B; 时 , 它 能 利用 广播 消息 B; 计算 多 项 式 wj (zx) 和 g (x) 在 
Ai BÉ (E w GD 和 eG), AHURA 8 天 0 成立 ;因此 ,用 户 U: 可 以 利用 在 初始 
化 阶段 保留 的 私 钥 A; Ci) 以 及 rw (i) 和 e; GO FELT IR h 4 BE 69 2H 35 9] TEK; = (wj G0 一 
h; G))/g; GO , BIDSE— A 16 58 89 28 FH U € G; 而 言 , 它 完全 可 以 利用 当前 的 广播 消息 Bi 及 
其 私 钥 S; 恢复 出 组 密 钥 K;. 即 有 如 下 结论 成 立 : 
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HK; | Bj.S) = 0. 

其 次 ,我 们 证 明 性 质 2。 对 任意 用 户 子 集 BCUCI BI <a) PMMA PRA iS fe 
道 多 项 式 hj(z) 中 的 1 个 点 。 由 于 {hj GO Lj 1.2. m) eS Fe dil 38 GC 随机 地 从 F, [x ]rh 
选取 的 度 为 1 的 屏蔽 多 项 式 , 因 此 ,集合 B 中 所 有 用 户 不 可 能 利用 多 项 式 的 插值 方法 去 重 构 
hh; (zr)。 即 任何 集合 BSU(|B| 志 ) 中 的 用 户 不 可 能 通过 密谋 的 方式 获得 组 用 户 U, EB 的 
秘密 私 钥 Si , 即 : 

H(K;.S, | B; B; Bi {Si}ues) = H(K;,S;). 

再 次 ,我 们 证 明 性 质 3。 组 密 钥 TEK; 1 <j<m) # GC 随机 产生 的 ,广播 消息 {B,， 
B,,…,B,,) 中 的 多 项 式 w; (x) = g; GO * TEK; +h; (x) Sf ARR FE a HF OTEK; OL j< 
m) 的 信息 。 因 此 ,单独 从 GC 广播 的 密 钥 更 新 信息 是 不 可 能 获得 组 密 钥 的 , 即 : 

H(K, .K; ,… Kn | Bi „B250, Bn) = HK, Kj. Kn) o 

另外 ,多 项 式 { 亡 (z)1 j=1,2, m) € Fa FE GC 随机 地 从 FLz] 中 产生 的 ;组 密 钥 
TEK;(1<j<m) thf GC 随机 产生 的 ,其 完全 独立 于 {hj(z)1j 二 1,2,…,m) ,也 即 完全 独立 
于 组 用 户 U; 的 秘密 S; = Un GO phe GO m hu (让 }。 因 此 ,单独 从 组 用 户 的 秘密 私 钥 是 不 可 
能 获得 组 密 钥 的 , 即 : 

HG, .K; + Ka | Si ,Se ,8S.) = HK, ,Ke Ka). 

最 后 ,我 们 证 明 性 质 4, 即 B-GKDS 协议 能 够 同时 安全 地 撤销 最 多 1 个 用 户 。 在 考察 
GC 广播 第 j 次 密 钥 更 新 消息 B; 时 ,对 于 R=R; UR; Ue UR, (|) R| <2) Hak GC 撤销 的 
HP U, 而 言 ,由 于 {gj (7) 二 0| YU,ER), 因 此 有 : 

wj(r) = gj(G) * TEK; +h;(r) = h;(r) (4. 3. 32) 
这 导致 用 户 U, € R 无 法 通过 计算 恢复 出 组 密 钥 TEK; 。 

另 一 方面 ,车 集合 R(IR|<1) 中 所 有 被 撤销 的 用 户 进 行 密谋 ;对 活动 组 的 第 jE[1,m] 
次 会 话 , 尽 管 所 有 这 些 用 户 通 过 密谋 可 以 知道 {hj Go |r;ER,jE[1,m]) 和 wj (zx)。 然 而 ， 
我 们 可 以 随机 地 选取 TEK; ,并 构造 : 


W(x) = g;(x) * TEK; 十 万 (z) — gj (x) * TEK) (4, 3. 33) 

hi Cr) J& C BAY YE FE Pe UE AR Ap CO CST + 
wjGr) = g; Gr) * TEK  4- A ; Gr) (4. 3. 34) 
h rD = gj (ri) * TER; +h; Gr — g(r) * TEK = hy Gr) (4. 3. 35) 


这 表明 ,任何 一 个 随机 产生 的 数 TEK' 都 可 能 是 R 中 所 有 被 撤销 用 户 密 谋 所 得 到 的 组 

密 钥 。 因 此 ,性质 4 成 立 , 即 
H(K; | BjBya Bi (Sue) = H(K;). 

定理 4.3.2 组 密 钥 管理 协议 B-GKDS 能 够 满足 前 向 隐私 性 和 后 向 隐私 性 。 

证 明 : 依据 定义 4. 3.6 ,我 们 依次 讨论 Ds (U,t,m) 的 前 向 和 后 向 隐私 性 。 

前 向 隐私 性 : 假定 BSER,UR,_1U…URI(|B| 志 四 表示 在 会 话 r 前 (包括 7) 被 GC fiit 
销 的 组 用 户 集 。 由 于 所 有 被 撤销 的 用 户 U, € B 均 包 含 在 组 密 钥 更 新 消息 RefreshKey 的 
{R} 子 项 中 ;依据 密 钥 更 新 消息 中 多 项 式 gj (zx) 构造 方 式 可 知 ,等 式 {gj;(7) 二 0| VU, E Ri f 
w G)—h; (7) 成 立 ; 进 而 ,任何 用 户 U, € R 均 无 法 利用 广播 的 密 钥 更 新 消息 B; 及 其 先前 保 
存 的 秘密 h;(r) 去 恢复 当前 的 组 密 钥 TEK , 即 下 式 关 于 组 密 钥 TEK; 的 计算 对 U,ER 的 用 
户 而 言 是 不 可 行 的 ,因为 : Dg=; Qu; GO) —h;G)—0, 
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TEK; = (w;(r) —hj(r))/g;(r)。 

考察 B 中 所 有 用 户 的 同谋 : 对 B 中 所 有 用 户 UE€ B, 由 于 |B| 志 i, 他 们 不 可 能 利用 这 
HMH UO) | rj mU, € BI AE E BED t 的 多 项 式 {h; (xz)|r 三 j 三 m})。 因 此 ,只 要 
| B| Se, B 中 组 用 户 之 间 便 不 可 能 以 同谋 的 方式 获取 组 密 钥 {TEK; |r jm). BNA: 

ACK, Kia SK, | Bi,B,,*,B,,{Si}u e = HOGKa 7E. 

最 后 ,考虑 到 GC 所 产生 的 组 会 话 密 钥 {R | 1j m ) AY BE BL v TE S48 BE 
可 以 有 HK Koen Ka | Ky K250 KO— HORS Kuss Kn) R. AL. B 中 任何 
组 用 户 之 间 的 密谋 也 无 法 获得 组 密 钥 {TEK, | rj m) , 即 如 下 结论 成 立 : 

ACK, ,Kn + Ks | Bi ,Ba Bn (Siu er Ki Kk KS = HOCK, ,Kn KE. 

后 向 隐私 性 : BE FU, | F| HEZK s 后 (包括 s) 加 入 活动 组 的 用 户 集 。 由 组 用 
户 的 动态 加 入 规则 可 知 : F rp fap Te ced e Gem IA i zi i Hl Pr Uj 只 能 获得 私 钥 
S= {hy C) | ej m ) ,而 无 法 获得 在 会 话 k(s 二 km) 前 的 秘密 私 钥 {h(f)11 三 二 k), 进 
而 Uy 不 可 能 从 广播 更 新 消息 {Bj;11 志 j 二 s} 恢 复 对 应 的 组 密 钥 KASK). Sb ME F 
中 所 有 用 户 的 同谋 ,由 于 |FI 志 ,他 们 是 不 可 能 利用 这 些 私 钥 {h;(f)1s 二 j 三 m,UjE 下) 重建 
EK t WEHR (h C) ls Sj Sm) h AE, RE LFI SEF 中 组 用 户 之 间 不 可 能 以 同谋 方式 
获取 组 密 钥 {TEK; 1j —s). Iih ZIER GC 产生 组 会 话 密 钥 {Ri Lj m ) 的 随机 独立 
性 ,有 HOR; K250 K, | Koi ,Kis Kn) =H(K, ,Ki,…,K,)。 因 此 ,F 中 任何 组 用 户 之 
间 的 密谋 也 无 法 获得 组 通信 和 密 钥 {TEK;|1<j 二 s) BI: 

HG, Kb SK, | Bi Bi Bs (S: }u er Koi Ka Kn) = HOK' ,Ke 77K). 

因此 ,B-GKDS 的 动态 用 户 参 与 算法 提供 了 一 种 保证 前 向 /后 向 隐私 性 的 有 效 方法 ,也 
即 ,B-GKDS 的 组 密 钥 分 发 机 制 能 够 满足 前 向 /后 向 隐私 性 需求 。 


4332 性 能 分 析 


K 4.3.1 分别 对 B-GKDS 协议 的 性 能 和 Stadden 的 组 密 钥 分 发 协议 5 进行 了 对 比 
分 析 。 


表 4.3.1 性 能 对 比 


通信 开销 (组 播 ) 通信 开销 ( 单 播 ) 存储 开销 
B-GKDS Otctlogq? OtCmlogq? OC mlogq? 
Stadden'? OC? logg) OGnlogq) OGnlogq) 


存储 开销 : 在 初始 化 阶段 ,每 个 组 用 户 U; 需要 存储 自己 的 身份 标识 i 和 掩 码 多 项 式 
{hj(z))j=12.…s EFs[zj 在 点 i 处 的 值 {h10 站 ,hs(i),…,h.(i)}。 因 此 ,对 每 个 用 户 U, 而 言 ， 
其 存储 复杂 度 为 OGnlogq) , 它 和 Stadden 的 组 密 钥 分 发 协议 的 存储 复杂 度 基本 一 样 。 

通信 开销 : 广播 消息 B; 包括 在 第 7 次 会 话 中 由 GC 所 撤销 的 组 用 户 标识 集 和 一 个 上 维 
多 项 式 rwj(z); 因 此 ,B-GKDS 的 通信 开销 是 OCclogg) ,而 Stadden 的 组 密 钥 分 发 协议 则 为 
Ol loga). SS .B-GKDS 协议 使 得 GC 和 组 用 户 之 间 的 广播 通信 开销 得 到 了 显著 优化 ， 
因为 广播 消息 包 的 大 小 被 减少 到 O(tlogg)。 

值得 一 提 的 是 ,同样 的 密 钥 分 发 机 制 .Liu 和 Ning 的 协议 中 主要 用 于 组 用 户 个 人 秘密 
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的 分 发 (personel secret distribution. PSD) ,因此 ,在 表 4. 3. 1 中 ,我 们 没有 将 此 协议 列 入 性 
能 的 对 比分 析 之 中 。 实 际 上 ,PSD 协议 的 广播 通信 开销 近似 为 2clogg. M B-GKDS 协议 的 
广播 通信 开销 则 近似 为 tlogg ,性 能 还 是 获得 了 一 定 程度 的 优化 。 


44 自 意 的 组 密 钥 分 发 协议 


在 基本 的 组 密 钥 分 发 协议 B-GKDS 中 ,我 们 通过 引入 一 种 简洁 而 高 效 的 无 状态 用 户 撤 
销 管理 机 制 , 初 步 解决 了 组 密 钥 分 发 协议 的 动态 性 问题 。 本 节 重 点 研究 的 主题 是 组 密 钥 分 
发 协议 的 鲁 棒 性 ,以 期 能 够 提供 一 种 可 靠 的 组 密 钥 更 新 机 制 。 事 实 上 , 除 协议 的 动态 稳定 性 
主题 研究 以 外 ,近年 来 一 些 研究 工作 也 密切 关注 到 组 密 钥 的 自 愈 性 (self-healing) 问 题 , 即 组 
用 户 自 身 能 够 从 最 近 的 密 钥 更 新 消息 中 恢复 先前 丢失 的 组 会 话 密 钥 。 这 对 于 当前 开放 、 异 
构 ,不 可 靠 和 易 受 攻击 的 组 通信 环境 而 言 , 有 效 的 组 密 钥 自 愈 算法 更 显 重要 。Stadden 等 人 
基于 二 维 上 次 二 项 式 首先 提出 一 种 自 愈 的 组 密 钥 分 发 机 制 29 ,该 方法 后 来 被 Liu 和 Ning 所 
BGE, Blundo 等 人 呈 '5 则 进一步 指出 了 文献 L[57,58] 的 缺陷 ,并 提出 另 一 种 组 密 钥 的 自 
愈 机 制 。 在 文献 [53,54,65] 中 ,一些 自 愈 方法 被 引入 到 基于 子 集 差 (subset difference) 技 术 
的 组 密 钥 更 新 协议 中 。 

自 愈 的 组 密 钥 分 发 机 制 同样 应 该 考虑 安全 性 和 性 能 。 基 本 的 安全 性 需求 包括 组 密 钥 的 
机 密 性 \ 前 向 隐私 性 、 后 向 隐私 性 和 抗 同谋 破解 。 此 外 ,就 性 能 而 言 ,协议 应 该 具备 较 小 的 存 
储 、 计 算 和 通信 开销 。 例 如 , 低 的 通信 带宽 (无 线 链 路 ) .通信 链 路 较 高 的 误 码 率 和 丢 包 率 以 
及 组 用 户 的 动态 拓扑 变化 都 会 增加 服务 中 断 的 概率 ,使 组 用 户 无 法 与 GC 正常 通信 ,最 终 将 
导致 协议 失败 。 因 此 ,协议 要 求 : @ 较 小 的 组 密 钥 更 新 消息 ; OGC 和 用 户 之 间 尽 量 少 的 消 
息 交 互 次 数 ; 四 此 外 ,组 密 钥 的 更 新 机 制 不 能 要 求 组 用 户 存储 大 量 的 密 钥 和 过 于 繁重 的 
计算 。 

在 基本 组 密 钥 分 发 协议 B-GKDS 的 基础 上 ,针对 不 可 靠 . 易 受 攻击 .开放 的 组 通信 环 
境 , 提 出 了 一 种 自 愈 的 组 密 钥 分 发 协议 SGKDS (self-healing group key distribution 
scheme), S-GKDS 协议 完全 是 B-GKDS 协议 的 扩展 , 它 完 整地 继承 了 B-GKDS 协议 的 基 
本 特性 ,如 安全 性 和 组 用 户 动态 参与 机 制 的 灵活 性 。 协 议 的 自 愈 机 制 是 基于 单 向 哈 希 链 
(one-way directional Hash chains,ODHC);ODHC 的 单 向 性 提供 了 一 种 具有 较 小 计算 和 通 
信 开 销 的 组 密 钥 自 愈 算法 。 尽 管 密 钥 更 新 消息 很 可 能 在 传输 过 程 中 丢失 ,但 用 户 仍然 可 以 
通过 单 向 函数 和 最 近 收 到 的 组 密 钥 更 新 消息 来 恢复 先前 丢失 的 组 密 钥 更 新 消息 。 这 种 优良 
的 特性 使 得 S-GKDS 协议 对 丢 包 率 和 错 码 率 较 高 的 组 通信 环境 具有 更 好 的 自 适应 性 。 

在 SGKDS 协议 中 ,组 密 钥 将 被 周期 性 地 更 新 而 不 是 在 每 个 用 户 的 拓扑 变化 时 更 新 ; 
周期 性 或 批量 地 密 钥 更 新 能 够 显著 地 减少 GC 和 用 户 之 间 的 计算 和 通信 开销 ,因此 能 够 显 
著 地 改善 组 密 钥 分 发 协议 的 性 能 和 扩展 性 。 此 外 ,为 了 保证 组 通信 过 程 中 数据 的 稳定 传输 ， 
S-GKDS 协议 还 引入 了 一 种 平滑 的 组 密 钥 更 新 技术 ,使 得 在 组 密 钥 的 动态 切换 过 程 中 不 会 
干扰 正在 传输 的 数据 。 

此 外 还 讨论 了 S-GKDS 协议 在 广播 信道 下 的 性 能 和 安全 性 。 性 能 分 析 结 果 表明 ,该 协 
议 能 够 有 效 地 容忍 通信 信道 中 较 高 的 丢 包 率 和 错 码 率 。 另 外 ,在 S-GKDS HN LIS fii BE 


第 4 章 ” 密 钥 管理 


型 基础 上 ,利用 信息 泄露 的 分 析 技 术 , 证 明了 该 协议 在 信息 论 范畴 内 是 无 条 件 安 全 的 , 即 
S-GKDS 协 议 能 够 满足 组 通信 的 安全 性 需求 ,可 以 有 效 地 保证 组 密 钥 的 前 向 /后 向 隐私 性 。 

因此 ,S-GKDS 协议 具有 较 好 的 性 能 和 安全 性 , 它 可 被 应 用 在 不 可 靠 的 通信 网 络 中 ,如 
无 线 网 络 ,移动 网 络 (NEMO 网 ) 和 无 线 传感器 网 络 。 


4.4.1 S-GKDS PX D fi E ij OU 


与 定义 4. 3.5 相似 ,在 此 ,我 们 给 出 S-GKDS HN WE Ed EE. S-GKDS 协议 完全 是 
B-GKDS 协议 的 扩展 , 它 在 基本 组 密 钥 分 发 协议 B-GKDS 的 基础 上 ,引入 了 组 密 钥 的 自 愈 
机 制 。 因 此 ,在 如 下 S-GKDS 协议 的 信息 科 模型 的 定义 中 ,我 们 主要 扩展 了 对 自 愈 的 形式 
化 定义 ,其 他 与 基本 的 组 密 钥 分 发 协议 B-GKDS 169 fri BE — Bi, 

同样 地 ,假设 随机 变量 S;.B; 和 K; 分别 表示 组 用 户 U; 的 个 人 私 钥 、GC 的 广播 更 新 消 
息 以 及 第 j 次 组 会 话 密 钥 , 则 利用 信息 炉 的 概念 ,我 们 可 以 将 自 僵 的 组 密 钥 分 发 协议 
S-GKDS 模 型 Ds (U ,i,m) 形 式 化 地 定义 如 下 : 

定义 4.4.1 假定 U= {Ui,U,,…,U,}) 是 所 有 可 能 的 组 通信 用 户 的 集合 ,m 是 组 通信 系 
统 的 最 大 会 话 次 数 ,t 是 GC 所 能 主动 撤销 的 最 大 用 户 数 , 则 Ds QU ,i,m) 是 一 个 自 僵 的 组 密 
钥 分 发 模型 , 若 如 下 条 件 能 够 满足 : 

CD 对 组 用 户 UEG 而 言 ,组 密 钥 K; 完全 可 以 由 B; 及 其 私 钥 S; 所 决定 , 即 : 

H{K; | Bj.S) —0 (4.4.1) 

(2) 对 任意 用 户 子 集 BCU ,1B|<1, 集 合 B 中 的 用 户 不 可 能 获得 用 户 Ui € B 的 用 户 私 
9] S,. BP: 


H(K, +S; | B; Bj cn Bi (Sues) = HOS S) (4. 4. 2) 

(3) 不 可 能 单独 从 GC 广播 的 密 钥 更 新 信息 或 组 用 户 私 钥 获得 组 密 钥 , 即 
H(K, .K; ,天 。| By B; ,…,B。) = HG, K; 7 Kn) (4. 4. 3) 
HO, KK, | SiS: 7S S) = HOS Ko S Ku) (4. 4. 4) 


(4) Ds (U,t,m) 能 够 同时 安全 撤销 最 多 1 个 用 户 的 能 力 : 设 每 次 会 话 j 被 撤销 的 组 用 
PEE RSR UR- UUR CRIO. W R 中 的 组 用 户 不 可 能 利用 GC 广播 的 组 密 钥 更 
新 信息 B; 去 恢复 出 当前 的 组 通信 密 钥 天 , 即 : 

H(K; | B; +B) Bi (Sive) = H(K;) (4.4. 5) 

(5) HHP UEG, ARESA roS EH SELL CB, | rm) ,但 在 会 话 * 前 一 直 
BOA BR Gn sm) , 则 该 用 户 能 够 利用 会 话 s 收 到 的 密 钥 更 新 消息 {Bi1r 志 1 三 ;} 恢 复 所 
有 的 组 通信 和 密 钥 {K,|r 志 /过 s} , 即 : 

H(G,.K,a 7. K, | B,.B,.S) 一 0 (4. 4. 6) 

定义 4.4.1 的 性 质 (1) 到 性 质 (4) 完 整地 继承 了 定义 4. 3. 5 的 性 质 ;而 定义 4.4. 1 中 的 
性 质 (5) 则 描述 了 Ds(U,z,z) 是 一 个 自 愈 的 组 密 钥 分 发 模型 所 应 满足 的 属性 。 同 样 , 考 虑 
到 组 密 钥 分 发 协议 的 安全 性 需求 ,Ds (U ,t,m) 还 应 满足 组 密 钥 的 前 向 隐私 性 和 后 向 隐私 性 
( 见 定 义 4. 3. 6)。 
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4.4.2 组 密 钥 的 自 愈 机 制 和 后 向 隐私 机 制 


S-GKDS 组 密 钥 的 自 愈 机 制 和 后 向 隐私 机 制 是 基于 单 向 哈 希 链 的 , 它 依赖 于 基本 的 单 
向 哈 希 函数 。 

单 向 哈 希 函数 以 一 个 变 长 的 二 进 制 串 M 作为 输入 ,并 输出 一 个 固定 长 度 的 散 列 二 进 制 
串 有 CUM) 。 一 个 单 向 函数 H 满足 以 下 两 个 性 质 : 四 给 定 x, 能 够 计算 出 ,使 得 y= HGO; 
DRE ,不 能 计算 出 z, 使 得 y 二 H(zr)。 如 喻 希 散 列 函 数 就 是 典型 的 单 向 函数 。 

一 个 单 向 哈 希 链 则 是 一 个 喻 希 值 序列 {zx,,… ,zj,… ,xo), 且 满足 {zj | Vi20<j<m, 
zj = HG) } ,其 中 xz, 是 单 向 喻 希 链 的 一 个 秘密 种 子 , 喻 希 序 列 值 之 间 满 足 如 下 线性 关 
fic 5Ha) = 5H" (am) =H" yj»). AFR a md H 的 单 向 性 ,给 
定 zx;, 则 不 可 能 计算 出 m; CD PRT ELSE x; = HO C0 UE EE v; G>d. 
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为 了 保证 组 密 钥 的 后 向 隐私 性 ,我 们 在 密 钥 分 发 协议 S-GKDS 中 引入 一 个 前 向 哈 希 链 
K"。 该 单 向 哈 希 链 通 过 对 一 个 秘密 种 子 重 复 应 用 一 个 单 向 喻 希 函 数 五 来 产生 , 即 : 产生 
一 个 随机 密 钥 种 子 值 KD; @ 对 种 子 KF 重复 使 用 单 向 函数 H 产生 一 个 长 度 为 m 的 喻 希 
链 : {KF ,HH(K5),…,H”"1(K5)}。 这 种 产生 机 制 类 似 于 S/KEYU9 。 
如 图 4. 4. 1 所 示 , 前 向 喻 希 链 保证 了 组 密 钥 的 后 向 隐私 性 。 设 m 是 组 会 话 的 最 大 次 
数 。 当 一 个 用 户 在 会 话 j 加 入 到 一 个 活动 组 时 ,GC 将 与 会 话 ji 对 应 的 哈 希 链 上 的 值 
H^ (K?) 预 先 分 发 给 这 个 新 的 用 户 。 显 然 , 对 在 会 话 ji 加 入 活动 组 的 新 用 户 而 言 , 由 于 哈 
希 函数 的 单 向 性 , 它 难以 计算 在 会 话 ja 以 前 的 哈 希 值 序列 {Hi CKE) | 1 <j — ji) sir e i 
放 以 后 ( 含 会 话 族 ) 的 喻 希 链 而 言 ,组 用 户 则 能 使 用 预 分 配 的 哈 希 值 H^: CK od SEE ji < 
jm WRR s FF 9 HIKE) |j jm) : 
HI (KE) = Hii (Hà (KF)) (4.4.7) 


前 向 链 | KE HIKE) 


zum [1 TX | Ma) -) 4 Tan ]l-] om 


图 4.4.1 组 密 钥 的 后 向 隐私 性 : 基于 单 向 哈 希 链 的 方法 


H'(D| c Ip (D H«KD| -- IH" KEY 


在 S-GKDS 协议 中 ,最 大 会 话 次 数 为 m 的 通信 组 在 会 话 ) 的 组 通信 和 密 钥 被 定义 为 j， 
Hİ (KE) All RK; 的 函数 值 : 
TEK; = f(H’(K®).RK;) (4.4.8) 
Hopes KZ 是 前 向 哈 希 链 的 种 子 值 ;函数 f(，) 也 是 一 单 向 函数 , 它 能 把 任意 长 度 
的 消息 经 过 处 理 后 输出 为 一 个 固定 长 度 的 值 ;RK; 来 源 于 GC 的 第 j 次 组 密 钥 更 新 消息 ,其 
更 新 处 理 机 制 将 在 随后 的 章节 中 详细 介绍 。 
由 组 通信 密 钥 的 构造 方式 可 知 , 组 密 钥 的 后 向 隐私 性 能 得 以 有 效 保 证 。 由 于 前 向 哈 希 
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HE Kr 的 单 向 性 ,具有 H^ CKD AA R fe UT RE fe ja jim 范围 内 的 组 通信 和 密 钥 ,因为 它 
能 利用 预 分 配 的 喻 希 值 Hi (KF) 来 计算 {Hi KE) | ji jm) B H CKE) = H7 (Hh CK); 
而 对 于 会 话 记 前 的 组 通信 密 钥 而 言 , 组 用 户 难 以 计算 出 Hi(K5), 从 而 不 可 能 计算 出 在 1 过 
jc 范围 内 的 组 通信 密 钥 TEK;。 

值得 一 提 的 是 ,在 S-GKDS 协议 中 ,组 密 钥 的 后 向 隐私 性 则 完全 依赖 于 组 密 钥 更 新 消 
息 , 具 体 的 机 制 在 后 续 部 分 将 详细 介绍 。 
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实际 上 , 单 向 哈 希 链 还 能 为 组 密 钥 更 新 消息 的 分 发 提供 一 种 有 效 的 自 愈 机 制 。 正 如 上 文 
所 提 到 的 ,对 任何 一 个 在 会 话 j(1 专 j 二 mm) 的 活动 用 户 而 言 , 其 都 能 够 有 效 地 计算 出 第 j 次 的 组 
WAW TEK; = fH (KE), RK). HP, H (K5) 并 不 需要 在 密 钥 更 新 消息 中 传输 ,因为 每 
一 个 用 户 都 能 利用 预先 设置 的 喻 希 值 Hi (Ks ) 独 立 计算 出 Hi CKD) = H CHh CK20 i ifii 
RK, 则 需要 被 封装 在 密 钥 更 新 消息 中 ,由 GC 周期 性 地 以 广播 方式 分 发 到 所 有 活动 用 户 。 

因此 ,组 密 钥 的 自 愈 机 制 要求 协 议 提供 一 种 强健 的 机 制 ,使 得 密 钥 更 新 消息 RK 能 在 不 
可 靠 的 广播 信道 上 可 靠 地 进行 传输 。 为 此 ,在 初始 阶段 ,GC 选择 一 个 随机 数 RK,, 作为 喻 
希 链 的 秘密 种 子 值 ,并 使 用 RK, 重复 执行 哈 希 函数 五 来 预先 计算 出 单 向 哈 希 链 {RK,| 7 = 
1,2,…,m) ,其 中 RK; =H(RKi,).1<i<m—1, BUA. PAW 8 ri d RK 构成 以 下 线性 
KA: 


RK, = H(RK,) = … = H”? (RK) = H™"(RK,,) (4.4.9) 
在 以 后 的 组 密 钥 更 新 阶段 ,GC 将 RK;(i 二 1,2,…,m) 按 倒序 逐步 分 发 给 所 有 的 活动 用 
户 , 即 在 会 话 0 释放 RK ,在 会 话 1 释放 RK ,…', 在 会 话 m 释放 RK,,。 一 旦 获得 会 话 j FE 
放 的 更 新 消息 RK; ,用 户 则 能 够 方便 地 利用 单 向 函数 OE PC As ni Ue 9 s 0] BH E 
{RK;RK 一 五 一 (RK)), 1; 入) 。 值 得 指出 的 是 ,这 种 自 愈 机 制 在 一 定 程 度 上 还 保证 了 
组 密 钥 的 后 向 隐私 性 。 这 是 因为 ,用 户 难 以 计算 在 会 话 j 后 其 他 的 更 新 消息 {RK;|j 十 1 过 
icm). 
因此 ,尽管 密 钥 更 新 消息 很 可 能 在 传输 过 程 中 丢失 ,但 用 户 仍然 可 以 通过 哈 希 函数 和 最 
近 接 收 到 的 RK 来 恢复 在 以 前 的 更 新 消息 中 丢失 的 那些 RK。 后 续 的 性 能 分 析 将 表明 这 种 
自 愈 机 制 能 够 有 效 地 容忍 信道 的 高 委 包 率 和 错误 率 。 


4.4.3 自 愈 的 组 密 钥 分 发 协议 


自 愈 的 组 密 钥 分 发 协议 S-GKDS 也 属于 集中 式 的 安全 组 密 钥 管理 方案 。 在 该 协议 中 ， 
由 组 控制 器 GC 担当 中 央 控 制 节 点 来 负责 组 密 钥 的 创建 .分 发 和 组 成 员 关 系 发 生变 化 时 的 
组 密 钥 更 新 。 前 述 B-GKDS 协议 所 关注 的 主题 是 协议 的 动态 稳定 性 ,而 SGKDS 协议 重点 
解决 的 主题 是 协议 的 鲁 棒 性 。 

S-GKDS 协议 几乎 完全 是 B-GKDS 协议 的 扩展 , 它 完整 地 继承 了 S-GKDS 协议 的 基本 
特性 ,如 安全 性 和 组 用 户 动态 参与 机 制 的 灵活 性 ;并 通过 引入 一 种 基于 单 向 喻 希 链 的 组 密 钥 
自 愈 机 制 来 保证 协议 的 鲁 棒 性 。 这 种 组 密 钥 自 愈 算 法 具有 较 小 的 计算 和 通信 开销 。 它 使 得 
用 户 节 点 仅 需要 进行 快捷 的 哈 希 计算 就 能 保证 组 密 钥 更 新 消息 的 可 靠 传输 和 组 密 钥 更 
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新 效率 ,进而 使 得 SGKDS 协议 对 丢 包 率 和 错 码 率 较 高 的 组 通信 环境 具有 更 好 的 自 适 
应 性 。 

下 面 我 们 将 依次 讨论 SGKDS 协议 的 基本 体系 结构 、 活 动 组 用 户 的 初始 化 .组 密 钥 的 
更 新 和 恢复 机 制 、 容 忍 时 钟 扭曲 的 机 制 以 及 组 用 户 的 动态 参与 特性 。 


4431 SGKDS 的 体系 结构 


与 BGKDS 协议 一 样 ,我 们 假定 组 通信 系统 的 组 成 员 和 GC 之 间 有 一 个 统一 的 全 局 时 
钟 (可 容许 各 节点 和 GC 之 间 存在 时 钟 漂移 )。 令 mw gs 


GC 
是 组 通信 系统 的 活动 周期 。 相 应 地 ,组 通信 系统 的 = InitGroupKey 
活动 周期 将 被 划分 成 m 次 会 话 。 RefreshKey 
如 图 4. 4. 2 所 示 , 在 S-GKDS 协议 中 包括 有 3 ni 
种 类 型 的 消息 : InitGroupKey. RequestKey 和 RequestKey - 
RefreshKey, InitGroupKey 和 RequestKey 是 GC 


[8 4.4.2. S-GKDS 协议 中 GC 和 组 用 
和 单个 组 用 户 之 间 的 单 播 ,而 RefreshKey 被 广播 到 户 之 间 的 消息 流 


所 有 的 组 用 户 。InitGroupKey 消息 用 来 初始 化 密 钥 
更 新 参数 ,在 初始 化 阶段 被 发 布 到 用 户 。RefreshKey 消息 用 来 周期 性 地 广播 密 钥 更 新 消息 
到 所 有 用 户 。 如 果 某 个 组 用 户 没 有 收 密 钥 更 新 消息 的 时 间 超 过 一 个 预先 设置 的 更 新 间隔 
5, 则 产生 RequestKey 消息 以 向 GC 明确 请 求 密 钥 更 新 消息 。 

图 4.4.3 描述 了 S-GKDS 协议 所 包含 的 主要 4 个 功能 模型 : 消息 包 的 验证 和 检查 模 
块 ` 组 密 钥 更 新 消息 的 自 愈 模块 .组 密 钥 TEK 切换 模块 以 及 流 加 密 /解密 和 完整 性 检查 模 
块 。 消 息 包 的 验证 模块 (message verification module) 着 力 于 解决 类 似 DoS 类 型 的 攻击 ,使 
得 系统 在 处 理 组 密 钥 更 新 消息 RefreshKey 时 能 够 在 一 定 程度 上 抵御 DoS 类 型 的 攻击 。 这 
里 需要 引入 一 种 有 效 的 包 过 滤 技 术 : 当 接 收 到 RefreshKey 消息 时 ,每 个 用 户 用 以 前 保留 的 
RK 来 隐 性 验证 接收 到 的 RK, 而 不 依赖 于 GC 重 传 丢失 的 RK, 


初始 化 消息 、 | | 
InitGroupKey | | L | 
伪造 消息 “ 片 一 ~-LLLLTLI 包 验证 | 
更 新 消息 | m ! 
RefreshKey ! 丢弃 伪造 的 消息 包 | 


| 流 加 密 解密 和 完整 性 检查 模块 


图 4.4.3 SGKDS 协 议 的 体系 结构 


组 密 钥 更 新 消息 的 自 愈 模块 (selfhealing module) 为 容忍 广播 通道 上 的 丢 包 提供 了 密 
钥 更 新 消息 的 自 恢 复 机 制 。 尽 管 密 钥 更 新 消息 RefreshKey 很 可 能 在 传输 过 程 中 丢失 ,但 用 
户 仍然 可 以 利用 最 近 接 收 到 的 RK 来 通过 计算 恢复 在 以 前 丢失 的 RK ,而 不 需要 请 求 GCE 


#45 ZAR 


传 丢 失 的 RK。 这 种 自 愈 机 制 依赖 于 哈 希 函数 的 单 向 性 ,相似 的 机 制 也 出 现在 TESLA" 
和 LISPT1 中。 本 文 提出 的 算法 具有 : @ 更 好 的 效率 ,因为 每 个 组 用 户 只 需要 存储 固定 数量 
的 更 新 消息 ,而 TESLA 则 要 求 存储 所 有 接收 到 的 消息 ,直到 用 户 接收 了 一 个 认证 消息 ; 
加 高 效 的 用 户 加 入 和 退出 机 制 ,这 一 点 在 相关 协议 中 未 曾 得 以 有 效 地 考虑 。 

组 密 钥 切换 模块 (traffic encryption key switch module) 可 以 无 缝 地 切换 组 通信 和 密 钥 ， 
而 不 干扰 正在 传输 的 数据 。 图 中 的 两 个 密 钥 槽 可 以 同步 进行 操作 。 当 一 个 密 钥 槽 中 的 RK 
被 用 来 加 密 或 解密 数据 时 ,接收 到 的 新 RK 将 被 写 人 到 另 一 个 密 钥 槽 中 。 在 密 钥 更 新 点 上 ， 
用 户 将 活动 密 钥 槽 切换 到 另 一 个 ,并 接收 新 的 RK。 


4432 SGKDS 组 用 户 的 初始 化 


与 B-GKDS 协议 相 类 似 ,在 S-GKDS 组 用 户 的 初始 化 阶段 ,组 管理 中 心 GC 同样 需要 
从 F,[z] 中 随机 地 选取 m 个 度 为 1 的 屏蔽 多 项 式 ， 

{hj Gr) = ho, + hz te + hajt" Yje, € Flr] (4. 4.10) 

另外 ,为 了 保证 组 密 钥 的 后 向 隐私 性 ,S-GKDS 的 GC 需 预 先 计 算 一 个 前 向 哈 希 链 
K*—(KT  HCORD e  H'OCID 8 H” CK20 } 为 了 提供 密 钥 更 新 消息 的 自 愈 机 制 ,GC 还 
需 预先 计算 一 个 密 钥 更 新 消息 RK 的 单 向 哈 希 序列 {RK,|i 一 1,2,…,7m) ,以 满足 RK; = 
H(RKin) ,0 委 i 委 mm 一 1。 

随后 ,GC 利用 多 项 式 {hj(z));-1,2,.…, 为 每 个 在 初始 化 阶段 加 入 活动 组 的 用 户 U; 产生 
m SALA AAS; = (h G) he CD v hy GO) ,并 通过 InitGroupKey 消息 将 这 m 个 秘密 私 钥 
{hi Go sho Gi) eu GO LR S i. 1 对 应 的 喻 希 链 K^ 上 的 值 COKE) ah 3 22 4e np AE l9 fs 
道 预先 分 发 给 用 户 Ui 。 

GC — U; : (Eu, C | RKeiz | Te | HOKE) | hi D | t LAG) | 
MAC( | RKys | Ta | HOKE) | hi C) | … | h(i))}, 
其 中 ,6b 是 密 钥 更 新 消息 RK 的 缓冲 区 长 度 ; Te 是 密 钥 更 新 周期 , 即 组 会 话 间隔 时 间 ， 
MACC * ) 是 产生 消息 验证 码 的 散 列 函数 (如 SH A-1,MD5); MK; 是 用 户 U; 与 GC 共享 的 
主 密 钥 ,用 于 InitGroupKey 消息 的 加 密 和 验证 。 

U; 一 旦 接收 到 InitGroupKey 消息 ,首先 验证 该 消息 的 真 伪 ; 若 为 真 , 则 U; 利用 MK; 
解密 该 消息 并 获得 相应 的 秘密 私 钥 S: = (hi G) ha GO hu GO) 、 哈 希 链 KE 上 的 哈 希 值 
吾 (K5) 以 及 密 钥 更 新 消息 RKs+*。 随 后 ,用 户 利用 单 向 函数 H 计算 其 他 的 哈 希 序列 值 
(RK; 212. aa s AE] RK 消息 序列 到 它 对 应 的 密 钥 更 新 消息 缓冲 区 kb 和 密 钥 更 新 消息 槽 
ks; 计 算 组 密 钥 {TEK; 二 fC(Hi(Ks),RK;))j;-1,z 并 复制 到 对 应 的 组 密 钥 槽 tb 中 ;最 后 指定 
TEK, 为 当前 活动 的 组 密 钥 。 组 用 户 完 成 这 些 初始 化 处 理 后 ,可 通过 接收 随后 的 密 钥 更 新 
消息 RefreshKey 来 同步 地 更 新 组 密 钥 。 详 细 的 组 用 户 初始 化 和 组 密 钥 的 更 新 机 制 可 参见 
图 4. 4.4 和 算法 4.4.1. 

此 外 ,如 果 用 户 的 计时 器 到 期 , 则 算法 4. 4. 2 被 触发 执行 。 算 法 4. 4. 2 处 理 组 密 钥 更 新 
消息 RK 的 右 移 操作 以 便 RK 在 每 个 间隔 Te 都 可 以 自动 更 新 。 这 里 ,用 户 设置 一 个 变量 
e 用 于 统计 没有 被 用 户 正确 接收 的 密 钥 更 新 消息 RefreshKey ZH ; 24 e— 0 时 , 则 表明 该 用 
户 没有 收 到 密 钥 更 新 消息 的 次 数 已 超过 一 个 预先 设置 的 门限 值 2, 这 时 ,用 户 需 产 生 一 个 
RequestKey 消息 以 向 GC 明确 请 求 组 密 钥 更 新 消息 。 
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Ra 和 1 
| 组 密 钥 更 新 消息 RK 的 验证 和 更 新 | | a | 
| [| s | 
InitGroupKey | HM cer JEN | | RK, H TEK | 
| RK,;|RK,4| -- RK; iO t a| RK, H TEK, | 
"C" c ac | 
| S 过 E Li i 
RefreshKey | ^ ` ` N RK; H TEK; | | 
Rss [RKs | | RK H9 frk, bl rex, || 
| it | 
EKGs | H(RK p43) =RK ps2 | | | 
——Ó———. li ——————— m 


图 4.4.4 组 用 户 的 初始 化 和 组 密 钥 的 更 新 


算法 4.4.1 组 用 户 的 初始 化 


01; Function Init TEKO( 

02, if (接收 到 InitGroupKey 消息 ){ 

03; 解密 InitGroupKey 消息 得 到 {RKs+2 +b Tea o HOKE) shy Ci) e shm Gi) } 5 

04; 分 配 一 个 长 度 为 5 的 密 钥 更 新 消息 缓冲 区 {kb[1],… ,kb[5]); 

05: 分 配 一 个 密 钥 更 新 消息 槽 {ks[1],ks[2]} 和 与 之 对 应 的 组 密 钥 槽 {tk[1],tk[2]); 


06: for (i=1;i< =b3i+ +)do kb[i]— H’ (RK,+2); 

07: ks[2]= H* CRK, 422 ;ks[1]= H?* (RKe+2); 

08; tk[2]= f(ksl2],H* (KF )) = fCH*CRK,4,0 H? (KE )); 
09: tk[1]= fCOcs [1] H' (KF))= fH! OK 40 4 H' CK] 5 
10; RK, —ks[2]— H’ (RKo+2) s 

11: 设置 tk[1] 中 的 组 密 钥 为 当前 活动 的 组 密 钥 ; 

12; 设置 RefreshKeyTimer 为 T4 /2; 

13: c= 03/ * 表示 没有 接收 到 的 更 新 消息 RefreshKey 数目 * / 
14: } 

15: } 


算法 4.4.2 更 新 密 钥 计 数 器 


01; Function Refresh Key TimerO { 
02; if (RefreshKeyTimer BE fth 4) (/ * 组 系统 正 处 于 会 话 j 阶段 */ 


03: kb[1]--ks[ Cj mod 22 -1];/ * 右 移 kb[L1] 到 当前 非 活跃 的 密 钥 槽 * / 

04; tk[ Cj mod 2)+1]= fC Hi (KE)  ks[ Cj mod 222-1 ;/ * 计算 非 活跃 密 钥 槽 中 的 TEK * / 
05; for (j—1;i —b— l1 ;i-- +) do kb[i]-kb[;—1] ;/ * 右 移 组 密 钥 更 新 消息 RK  / 
06: 设 定 密 钥 槽 tkLj mod 2] 中 组 密 钥 的 活跃 组 密 钥 ; 

07; 重新 设 定 RefreshKeyTimer JJ Tia; 

08: e 十 十 ; 

09; if (e— =b) Ki RequestKey 消息 到 GC; 

10; ) 
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4433 SGKDS 组 密 钥 的 更 新 机 制 


初始 化 后 ,GC 将 周期 性 地 将 密 钥 更 新 消息 {RK; | RK = HCRKO ,i 二 1,2,…,m}) 按 道 
序 依次 分 发 给 所 有 的 活动 用 户 。 考 虑 GC 的 第 ; 次 组 密 钥 更 新 , 设 R; 表示 在 会 话 j 被 撤销 
的 组 用 户 集 , 则 R=R; UR;-1U…URI(|IRI<i,RNG,; 二 如) 表示 在 会 话 j 前 被 撤销 的 所 有 
组 用 户 集 。 为 保证 在 广播 信道 上 安全 地 传输 密 钥 更 新 消息 ,以 满足 任意 的 活动 组 用 户 U; € 
G: 能 够 解密 这 个 消息 ,而 任何 R 中 的 非 活动 用 户 (|RI<t) 即 使 他 们 以 任意 的 模式 密谋 也 不 
能 解密 该 消息 。 为 此 ,对 于 通信 组 的 第 j 次 密 钥 更 新 ,GC 将 广播 如 下 的 组 密 钥 更 新 消息 
RefreshKey( 或 称 为 B;) 给 所 有 活动 用 户 : 
GC > * :{w;(x) | {R} | MACC{R} | iw; GO). 
Hop w; (a) =g) (2) * RK) +h) GOJe— 4 EE Jg t 的 多 项 式 ,hj Cx) Je BE SK RK, 是 当 
前 的 组 密 钥 更 新 消息 ;多 项 式 gj; (zx) 则 按 如 下 方式 构造 : 
g(x) = [e-r (4.4.11) 


ER 


4434 SGKDS 组 密 钥 的 恢复 机 制 


S-GKDS 组 密 钥 的 恢复 机 制 与 B-GKDS 协议 相 类 似 ,算法 4. 4. 3 详细 描述 了 组 用 户 对 
消息 组 更 新 消息 RefreshKey 的 处 理 过 程 。 对 某 一 特定 的 活动 用 户 U;EG; 而 言 , 当 收 到 GC 
广播 的 组 密 钥 更 新 消息 D; 时 , 它 首先 计算 多 项 式 rw (zx) 和 gj Ca TE XX, i IET (EE o; COURT 
gj). HFU ERA g; CO 50. A. HP U: 可 以 利用 它 在 初始 化 阶段 保留 的 秘密 私 
Hh DUR w GA gj; (让 进一步 恢复 出 当前 的 组 密 钥 更 新 消息 RK; 。 


算法 4.4.3 组 密 钥 更 新 消息 RK 和 组 密 钥 TEK 的 计算 


01: Function TEK_Refresh_Recover() { 
02; while (活动 用 户 U; €G; 接收 到 RefreshKey 消息 B;){ 


03: 利用 消息 B, 中 的 R 构造 多 项 式 gj(z)= [| (zx 一) ; 
rj€R 
04: HAET w; (A g (2) TE i AAYIE w OA gj) ; 
05; RK, = Go; G) —h; GO) /g; G) 5 
06; if (HA (RK; )#Ækb[b—e]){/ * 验证 消息 包 是 否 正确 * / 
07: 丢弃 当前 的 RefreshKey 消息 ; 
08: continue; 
09: } 
10: kb[1]--ks[ Cj mod 2)+1);/ * 右 移 kb[L1] 到 当前 非 活跃 的 密 钥 槽 / 
tk[ Cj mod 2 -1]— fCH? (KẸ) kb 1 ;/ * iE E dE s Bc uL hp 9 40859] TEK * / 
12; for (j—1;i— =b—1;i++)do kb[i]-kb[i—1] ;/ * 右 移 组 密 钥 更 新 消息 RK * / 
13: 设 定 密 钥 模 KK mod 2] 中 组 密 钥 为 当前 活跃 的 组 密 钥 ; 
14: if (eA0){ /* 有 丢失 的 RKs* / 
15; for (k=0;k<e;k++) do / * 恢复 丢失 的 RKs * / 
16; H' (RK; )>kb[t—k] ; 
17: e=0; /* EE e*/ 
18: } 
19; } 


20: } 
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RK; = (w; (i) — h; GD /g; G) (4. 4.12) 
随后 ,活动 用 户 U; € G: 可 按 下 式 计算 当前 的 组 通信 密 钥 : 
TEK; = f(H’(K*),RK;) (4. 4. 13) 


另 一 方面 ,对 于 RSR; UR- Us UR, (| R| <2) mis GC 撤销 的 用 户 U, 而 言 ,由 于 
{g;(r)=0| VU, ER} aw; GO — g; GO * RK; +h; GO) =h; GO PA JE. BI fib fr] ECR | D 
也 难以 计算 出 当前 的 组 更 新 消息 RK; ;进而 ,也 难以 计算 与 之 对 应 的 组 通信 和 密 钥 TEK; = 
fHi(K®),RK,), 

组 密 钥 TEK 可 以 和 最 新 的 密 钥 更 新 消息 进行 同步 更 新 (算法 4.4.3 的 第 11 行 )。 由 
于 RK 序列 的 单 向 性 , RefreshKey 消息 并 不 需要 消息 认证 码 , 因 为 接收 者 通过 检测 
H'* (RK;) E kbLo— e E iE RK 是 否 属于 相同 的 组 密 钥 更 新 消息 序列 (算法 4.4. 3 的 
第 6 行 ) ,这 种 隐 性 认证 的 方法 很 显著 地 减少 了 广播 消息 的 大 小 。 

由 于 仅 需要 处 理 低 开销 的 哈 希 操作 ,因此 组 密 钥 更 新 操作 的 计算 开销 并 不 大 。 同 时 ,组 
密 钥 更 新 消息 的 隐 性 认证 机 制 使 得 GC 和 用 户 之 间 无 需 消息 重 传 ,这 也 极 大 地 减少 了 协议 
通信 开销 。 
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尽管 由 于 广播 信道 的 不 可 靠 性 ,GC 在 分 发 组 密 钥 更 新 消息 RefreshKey 给 组 用 户 时 ， 
可 能 会 出 现 丢 包 现象 ;但 用 户 仍 然 可 以 通过 哈 希 函数 孔 并 利用 最 近 接 收 到 的 RK 来 恢复 在 
先前 更 新 消息 中 丢失 的 那些 RK. 

事实 上 , 密 钥 更 新 消息 RefreshKey 提供 了 一 种 简洁 的 自 愈 机 制 来 恢复 丢失 的 RK. fi 
设 由 于 消息 的 丢失 仅 有 (<b) RK 被 保留 在 密 钥 缓冲 区 内 ,因此 缓冲 区 有 一 2 一 ”个 空 
HY. S (RK’,.RK’-1 ，,…,RK'1) 为 缓冲 区 {kb[rj],…,kb[1]) 的 x 个 RK, 属 于 相同 的 RK FF 
Sil, FLY AE H(RK’,)=RK’_1,…,H(RK%)=RK', 

算法 4. 4. 3 给 出 的 自 愈 算法 (14 一 18 行 ) 能 够 有 效 地 恢复 这 些 空 槽 中 的 密 钥 更 新 消息 
RK; 当 收 到 最 新 的 RefreshKey 消息 RK, 时 ,每 个 用 户 首先 检查 是 否 有 HRK) == 
kb[5 一 ej]; 如 果 成 立 , 则 用 当前 的 RK 恢复 相同 密 钥 更 新 序列 中 丢失 的 RK。 图 4. 4. 5 也 说 
明 这 种 自 愈 机 制 。 假 设 一 个 用 户 收 到 RefreshKey 消息 ,如 果 H (RKs) = RK 和 e= 0, 
则 消息 包 的 验证 通过 ,表明 用 户 收 到 一 个 合法 的 更 新 消息 包 : 但 在 接 下 来 的 两 个 密 钥 更 新 周 
39] . D 7g ET Fa PSE FR CH (RK i ) ARK, +3. H? (RK is) ARK MEER 
e 一 2; 随 后 , 当 接收 到 下 一 个 RefreshKey 消息 RK,;s 时 ,因为 H? CRK444) — RK;s, 则 活动 
用 户 可 以 成 功 地 恢复 出 以 前 丢失 的 两 个 RK, 即 RK = H? CRK,42 和 RKo+s = 
H: (RK +5) 

在 恢复 出 丢失 的 RK 后 ,组 活动 用 户 可 以 成 功 地 计算 出 先前 无 法 获得 的 组 通信 密 钥 
TEK, = f(H’(K®),RK;). 
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组 用 户 的 动态 参与 机 制 要求 协 议 在 用 户 加 入 或 离开 活动 组 的 情况 下 ,能够 有 效 地 保证 
组 会 话 密 钥 的 前 向 隐私 性 和 后 向 隐私 性 。 
用 户 离 开 : S-GKDS 的 组 用 户 撤销 机 制 与 B-GKDS 基本 一 致 ,是 通过 组 密 钥 的 更 新 消 
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图 4.4.5 组 密 钥 更 新 消息 RK 的 自 愈 机 制 


息 来 实现 的 。 假 设 在 第 j 次 会 话 中 ,GC 需要 撤销 用 户 U, WREE U, 包括 在 广播 消息 B; 
的 {R}) 集 合 中 , 即 U,ER。 由 于 {gj(r)= 二 0| VU, € R) ,用户 U, 无 法 利用 广播 的 密 钥 更 新 消 
AB; 及 其 自己 先前 保存 的 秘密 h(r) 去 计算 当前 的 组 密 钥 更 新 消息 RK; ,自然 也 无 法 计算 
组 密 钥 TEK;. 

用 户 加 入 : 当 用 户 U 希望 在 会 话 j 加 入 活动 组 时 ,其 相应 的 处 理 与 组 用 户 在 S-GKDS 
协议 初 启 时 的 初始 化 过 程 相 类 似 , 即 : 

(1) HIP! U, 首先 需要 从 GC 获得 加 入 活动 组 的 许可 ;如 果 成 功 ,U, 建立 一 个 与 GC JE 
享 的 主 密 钥 MK;。 随 后 GCH U, 产生 m 一 j 十 1 个 秘密 私 钥 {hj GO a CO ,hm(v)) ,并 
通过 InitGroupKey 消息 将 秘密 私 钥 {h GO «hia COO «tu (v)) 和 与 会 话 j 相 对 应 的 喻 希 链 
KP 上 的 值 H’i(K5) 通 过 安全 可靠 的 信道 分 发 给 用 户 U.: 

GC — U, : {Evx,(b | RK | Tasas | HiCKE) | hj C) | … | hn od) | 
MAC( | RK | Tasas | HICKE) | hj Cv) | … | A02). 
其 中 ,共享 的 主 密 钥 MK, 用 于 InitGroupKey 消息 的 加 密 和 验证 ; H^ (Ks ) 是 U, 在 前 向 喻 希 链 
中 与 会 话 j 对 应 的 哈 希 值 ;b 是 密 钥 更 新 消息 RK 的 缓冲 区 长 度 ; Te 是 密 钥 更 新 周期 。 

(2) HP! U, 一 旦 接收 到 InitGroupKey 消息 , 则 按照 算法 4. 4. 1 处 理 该 消息 ,然后 加 入 
到 活动 组 通信 ,接收 随后 的 密 钥 更 新 消息 RefreshKey 并 同步 地 更 新 组 密 钥 TEK, 如 算 
法 4.4.3 所 示 。 
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组 用 户 可 能 因 RK 的 认证 无 效 或 者 组 密 钥 更 新 消息 RefreshKey 的 丢失 ,而 导致 其 组 密 
钥 消息 缓冲 区 里 所 有 个 槽 全 为 空 , 即 一 03 这 时 ,GC 需要 重新 对 该 用 户 进行 初始 化 ,具体 
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步骤 为 : 

CD 组 用 户 首先 向 GC 发 送 RequestKey 消息 明确 要 求 获得 当前 的 组 密 钥 更 新 消息 ; 

(2) GC 将 当前 的 组 密 钥 更 新 参数 封装 在 InitGroupKey 消息 内 ,并 以 单 播 的 方式 发 送 
给 请 求 该 服务 的 用 户 ; 

(3) 一 旦 用 户 接收 到 新 的 初始 化 消息 InitGroupKey, 它 则 按 算法 4. 4. 1 来 处 理 该 消息 。 
随后 ,该 用 户 便 可 以 通过 接收 RefreshKey 消息 来 周期 性 地 更 新 组 密 钥 TEK, 


4438 时 钟 扭曲 (dock skews) 


S-GKDS 协议 能 够 在 一 定 程度 上 容忍 组 通信 中 各 组 件 (用 户 节点 和 GC) 之 间 的 时 钟 不 
同步 , 即 协议 并 不 要 求 用 户 节点 和 GC 之 间 的 时 钟 完全 精确 同步 。 这 使 得 SGKDS 协议 对 
某 些 时 延 较 大 的 通信 环境 具有 良好 的 自 适应 性 。 

S mi(T) 表 示 在 第 i 次 组 会 话 时 组 成 员 U; 对 应 的 全 局 时 钟 ,T 是 组 用 户 节 点 的 时 钟 。 
则 组 成 员 AMB 之 间 的 时 钟 扭 申 可 表示 为 4= |ma(T) 一 ms(T) |。 

为 满足 无 缝 地 更 新 组 密 钥 ,4 应 该 满足 4 二 Tsem/2, 因 为 根据 算法 4. 4. 1 和 算法 4. 4. 2, 用 
户 会 在 密 钥 更 新 周期 的 中 间 时 刻 将 活动 的 组 密 钥 自 动 地 切换 到 密 钥 模 中 的 另 一 个 组 密 钥 。 

假定 系统 的 组 会 话 1 始 于 时 刻 ia。 在 协议 的 第 ;次 组 密 钥 更 新 , 若 在 节点 A 和 B 之 间 存 
在 时 钟 扭曲 , 即 用 户 节点 A 使 用 TEK;_, 作 为 组 通信 和 密 钥 ,而 节点 B 使 用 TEK;。 显 然 , 在 此 情 
形 下 ,节点 A 和 B 之 间 仍 然 能 够 在 该 更 新 半期 内 正常 地 进行 通信 ,因为 A 和 B 同时 保留 有 组 
密 钥 对 {TEK;-_1 ,TEK;}。 

考虑 到 用 户 的 计时 器 的 更 新 周期 是 Tie/2, 即 每 隔 Tasa /2 SE 4. 4. 2 将 被 触发 执 
行 ,执行 结果 将 导致 组 节点 将 活动 的 组 密 钥 自 动 地 切换 到 密 钥 槽 中 的 另 一 个 组 密 钥 。 因 此 ， 
在 最 坏 的 情形 下 , 即 当 组 节点 之 间 的 时 钟 扭曲 达 Tretes /2 时 ,S-GKDS 协议 仍然 能 够 保持 正 
常 的 通信 。 即 对 任何 两 个 组 用 户 节点 A 和 B 而 言 , 可 容忍 的 时 钟 扭曲 边界 值 是 : 

max{ |ma(T)—ms(T)|,VA.B € U) < Tce/2 (4.4.14) 

另外 ,GC 和 组 用 户 之 间 也 能 容忍 一 定 的 时 钟 扭曲 。 考 虑 到 第 i 次 组 密 钥 更 新 ,GC 将 
在 时 刻 tine Hie Ttrew 广 播 更 新 消息 RefreshKey 给 各 节点 。 同 样 ,GC 和 组 节点 之 间 所 能 容 
忍 的 时 间 范 畴 为 [tw 十 Gi 一 1/2) * Tretresh ttini 十 (i 十 1/2)，Tiwireswj, 即 所 能 容忍 的 最 大 时 间 扭 
曲 值 是 : 

max{ | mac CT) —m,(T)|,VA E€ U} < Tas/2 (4. 4. 15) 


4.4.4 安全 性 分 析 


这 里 ,我们 对 S-GKDS 协议 进行 与 B-GKDS 相 类 似 的 安全 性 分 析 。 同 样 ,在 如 下 定理 
的 推导 过 程 中 ,我 们 用 随机 变量 K (j = 二 1,2,…,m) 表 示 对 应 的 组 会 话 密 钥 TEK;(i=1,2， 
m) ;用 随机 变量 RK;(j 二 1,2,…,m) 表 示 对 应 的 组 密 钥 更 新 消息 RK;(i==1,2,…,m)。 

定理 4.4.1 组 密 钥 管理 协议 S-GKDS 能 同时 安全 地 撤销 最 多 1 个 用 户 ;并 且 ,就 信息 
论 范畴 而 言 ,S-GKDS 协议 是 一 个 无 条 件 安全 的 自 愈 组 密 钥 分 发 协议 。 

WEBB. 依据 定义 4. 4. 1. [BE U — (Ui .Us ,…:U,} 是 所 有 可 能 的 组 用 户 集 ;RiSU 是 第 j 
次 会 话 中 由 GC 所 撤销 的 组 用 户 ;R=RiUR- U-- UR, RISO RESIS j 被 撤销 的 所 有 
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组 用 户 集 ; 万 SU 是 第 j 次 会 话 中 新 加 入 的 组 用 户 ; G=(G-:UJD)NRi; 是 第 j 次 会 话 中 合 
法 的 组 成 员 ;zz 表示 组 通信 系统 的 最 大 会 话 次 数 ;t 是 GC 所 能 撤销 的 最 大 用 户 数 。 

对 比 定义 4. 3. 1 和 定义 4.3.5 可知 , 自 愈 的 组 密 钥 分 发 模型 Ds(U,z,zz) 的 性 质 4. 3. 1 一 性 
质 4.3.4 完 整地 继承 了 Das(U,z,zz) 的 特性 :并 在 此 基础 上 ,定义 4.3.1 引 入 了 组 密 钥 的 自 愈 特 
TE, S-GKDS 协议 则 完全 是 B-GKDS 协议 的 扩展 , 它 具 有 B-GKDS 协议 的 安全 特性 。 因 
此 ,S-GKDS 协议 满足 Ds (U,t,m) 模 型 所 定义 的 性 质 4. 3. 1 一 性 质 4. 3.4。 下 面 只 需 证 明 
S-GKDS 协 议 能 够 满足 Ds (U,t,m) 所 定义 的 性 质 4.3.5 即 可 。 

对 某 一 特定 的 活动 用 户 U: € G, 而 言 , 若 其 从 会 话 r 开始 一 直到 随后 的 会 话 ;一 1 期 间 
一 直 都 未 收 到 组 密 钥 更 新 消息 {B;|r 过 i 过 一 1) ;但 一 旦 收 到 会 话 s 期 间 的 组 密 钥 更 新 消息 
B,, 它 便 能 利用 组 密 钥 的 自 愈 机 制 恢 复 在 (r,s) 期 间 丢 失 的 组 密 钥 {Ki|r 二 i 二 s}。 具 体 而 
言 ,对 UEG, HEKE GC 广播 的 密 钥 更 新 消息 B, 时 , 它 首 先 计 算 多 项 式 w, (xz) 和 g, (x) 
TER i AERE w, DA g, CO s FUR HP U 可 以 利用 它 在 初始 化 阶段 保留 的 秘密 私 钥 , (i) 
以 及 w, GI g,( 店 值 计 算出 当前 的 组 密 钥 更 新 消息 RK, = Go, GO —h, G0) /g, (让); 随 后 , 它 
利用 单 向 函数 H 计算 其 他 丢失 的 组 密 钥 更 新 消息 RK; = A (RK) Gri 30 iin HP 
U; EG: 可 按 下 式 计算 当前 以 及 先前 丢失 的 组 密 钥 {TEK;|r<i<s): 

TER, = GOPOCOD,RKO, ri 

VI REE Ir CRI CB, | rm) 的 用 户 U; € G, 而 言 , 尽 管 它 在 随后 的 会 话 s 前 一 
HRA Wie BU Bb CB; | eis — d rs m) ,但 该 用 户 能 够 利用 会 话 s KE B, Cn PR 
A "cil TAT Ee AK, |r s) , 即 性 质 4. 3. 5 成 立 : 

H(K, Ka 7. K, | B,.B,.S;) 一 0。 

3738 4.4.2. 自 愈 的 组 密 钥 管理 协议 S-GKDS 能 够 保证 组 密 钥 的 前 向 隐私 性 和 后 向 隐 
私 性 。 

WEBB. 依据 定义 4.3. 6 ,我 们 依次 讨论 Ds(U,i.m) 的 前 向 隐私 性 和 后 向 隐私 性 。 

后 向 隐私 性 : 组 密 钥 后 向 隐私 性 的 实现 完全 依赖 于 S-GKDS 协议 的 前 向 哈 希 链 KF. 
当 一 个 用 户 在 会 话 s 加 入 到 一 个 活动 组 时 ,GC 将 与 会 话 ; 对 应 的 哈 希 链 上 的 种 子 值 
五"CKs ) 预 先 通过 安全 的 信道 分 发 给 这 个 新 的 用 户 。 显 然 , 对 在 会 话 * 加 入 活动 组 的 用 户 而 
言 , 哈 希 函 数 的 单 向 性 使 得 它 难以 计算 在 会 话 s DU D s is (BE? CSE) | 1 <j <s) ,进而 不 
可 能 利用 TEK; = fH? (KE) . RKO iE SE £8 958] (TEK; | 1<j<s) ;而 对 会 话 s 以 后 ( 含 会 
话 s) 的 哈 希 链 , 组 用 户 则 能 使 用 预 分 配 的 种 子 值 CKD E EE ji Sj in 范围 的 哈 希 序 
列 H? CKE) 一 一 (HSCK5)); 随 后 ,一 旦 用 户 接收 到 组 密 钥 更 新 消息 RK, , 它 便 能 计算 在 会 
话 j 的 组 密 钥 TEK; — f CH COKE). RK). Ak it ep a A BE KE 的 单 向 性 使 得 H (Ki ,K;,…， 
K, [Kia Kao cn ,KK ) 二 HH(Ki.K:,…,K,) 成 立 。 因 此 ,F 中 任意 组 用 户 之 间 的 密谋 也 无 法 
获得 组 通信 密 钥 {Kj | 1 <j<s}. BN: 

H(K, ,Kz ,°K, | By „B254 Bn o {S;}u,er Ke Ka °° Kn) = HK, K250 K,) o 

前 向 隐私 性 : 在 S-GKDS 协议 中 ,组 密 钥 的 前 向 隐私 性 是 通过 两 种 机 制 来 保证 的 。 首 
先 ,组 密 钥 的 广播 更 新 机 制 提供 了 一 种 有 效 的 前 向 隐私 性 。 假定 BOR, U R, UU 
R,CIBI ode tei r 前 (包括 Dt GC 撤销 的 组 用 户 集 。 由 于 所 有 被 撤销 的 用 户 U, E 
B 均 包 含 在 组 密 钥 更 新 消息 RefreshKey( 或 Bi) 的 {R} 子 项 中 ;依据 密 钥 更 新 消息 中 多 项 式 
gj(X) 构 造 方式 可 知 ,等 式 {gj(7) 二 0| YU,ER} 和 wj(7) 二 hj;(7) 成 立 ; 因 此 ,任何 用 户 U, € 
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B 均 无 法 利用 广播 的 组 密 钥 更 新 消息 B; 及 其 先前 保存 的 秘密 h(x) 去 恢复 当前 的 组 密 钥 更 
新 消息 RK, , 即 用 户 无 法 利用 公式 (4. 4. 12) RK; = Go; GO) —h; G))/g; DUR. 
考察 B 中 所 有 用 户 的 同谋 : 其 一 ,对 B 中 所 有 用 户 U, EB, di FH BIS fili] s RT GERI 
用 这 些 私 钥 {h; (5) | r<j<m,U, EB} 去 构建 度 为 1 的 多 项 式 {hj; (zr) ejm). EL OH 
动 组 的 第 jE[r,mj 次 会 话 ,尽管 所 有 这 些 用 户 通过 密谋 知道 {hj GO | ri € R.j € [1m ]URI 
wj Go) ,然而 我 们 可 以 随机 地 选取 RK ,并 构造 h(x): 


h'(x) = gx) RK; +hj(x) — gj Go) * RK; (4. 4. 16) 
h(xz) 是 合理 的 ,因为 它 能 保证 如 下 等 式 的 成 立 : 
wjGr) = g; Go) * RK}; +h’; (zx) (4. 4. 17) 
hr) = aj (ri) * RK; 十 万 Cr) — g(r) * RK} = Ay Gr) (4. 4.18) 
这 表明 任何 一 个 随机 产生 的 数 RK 都 可 能 是 B 中 所 有 被 撤销 用 户 密谋 所 得 的 组 密 


钥 , 因 此 : 
H(GK, | Bj;,B; Bi (Siue) = H(RK), rj m (4. 4, 19) 
进而 ,B 中 用 户 不 可 能 以 计算 的 方式 获取 组 密 钥 TEK; = f CH’ (KE). RK;) HP r< 
im, B 
H(G, ,Kn 77K, | By Bi Bn +{S;}u,eR) = H(OG Ka KE. 
另 一 方面 , 密 钥 更 新 消息 的 单 向 链 (RK = H RK, ) = + = H”? (CRK。)) 也 为 协议 提供 
了 一 种 有 效 的 前 向 隐私 性 。 对 通信 组 的 第 j 次 密 钥 更 新 ,活动 的 组 用 户 U; 可 以 利用 公 
式 (4.4.12) 计 算出 RK; SH" (RK,))。 然 而 , 哈 希 链 的 单 向 性 使 得 它 难以 计算 在 会 话 j 
以 后 的 组 密 钥 更 新 序列 {H” CRKSD 1j im) ,从 而 它 不 可 能 利用 式 (4.4. 13) 计 算出 后 续 
128 955] (TEK, | j im) ;另外 ,组 用 户 能 够 使 用 RK 来 计算 会 话 7 以 前 (包括 jo fn ds 
Æ JIE H"UCORKO = H^ CH"? CRK, 0; it ii fE 86 ip 9E de x is j 的 组 密 钥 TEK; = 
fH (KE) RKO )。 故 密 钥 更 新 消息 哈 希 链 的 单 向 性 使 得 HRK, i ,RK ++. RK,, | RK; | RK; ， 
+ RKO = H (RK 41+ RK,+ ,…，,RK。) 成 立 ; 另 外 ,由 于 组 通信 密 钥 TEK; = f CH’ (KE), 
RKO ) , 故 有 万 (RH ,天 + + Ky | 天 ,天 ,… K,) =H (Kpy Ko Kn) OE. Ae. BP 
任何 组 用 户 之 间 的 密谋 也 无 法 获得 组 密 钥 {Ki | <j}. BA F Aie vy : 
HK, Ka SK, | By ,Bs ,~ Bms {Si }u er Ki Kon Ka) = HO, Kan + Kn) 。 
综 上 所 述 ,S-GKDS 协议 的 组 密 钥 分 发 机 制 能 够 满足 前 向 /后 向 隐私 性 需求 。 


4.4.5 人 性 能 分 析 


除 协 议 的 安全 性 以 外 ,考虑 到 某 些 实际 应 用 中 组 用 户 节点 较 低 的 计算 能 力 ( 如 无 线 应 
用 ) 和 较 高 的 信道 误 码 率 ,性 能 也 是 一 个 很 重要 的 因素 。 考 虑 到 协议 的 动态 特性 ,我 们 需要 
对 组 密 钥 更 新 消息 RK 的 性 能 进行 评价 ,主要 是 量化 组 用 户 更 新 组 密 钥 时 的 通信 开销 和 计 
算 开销 。 

我 们 首先 使 用 Markov 链 来 得 到 用 户 密 钥 更 新 消息 缓冲 区 状态 的 稳 态 分 布 ;然后 
重点 讨论 S-GKDS 协议 的 计算 和 通信 开销 ;最 后 与 其 他 相关 的 研究 工作 进行 了 对 比 
分 析 。 
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4451 稳 态 Markov 状 态 分 布 


如 图 4. 4. 6 所 示 ,我 们 用 Markov 链 对 一 个 组 用 户 的 消息 缓冲 区 的 状态 分 布 进行 了 建 
模 。 我 们 假设 : 每 个 RefreshKey 消息 包 的 丢失 是 随机 发 生 且 相互 独立 的 事件 ; @ 无 效 
的 RefreshKey 消息 包 是 随机 发 生 且 相互 独立 的 事件 ; 四 如 果 一 个 用 户 的 组 密 钥 更 新 消息 
缓冲 区 用 完 ,每 个 用 户 都 会 在 间隔 Tew 内 完成 RequestGroupKey 消息 操作 。 


图 4.4.6 组 用 户 消息 缓冲 区 的 状态 变迁 图 


不 失 一 般 性 ,我 们 假定 所 有 的 消息 包 ( 有 效 或 无 效 ) 在 传输 过 程 中 具有 相同 的 包 丢失 率 ， 
4 p= Pr{RK 消息 丢失 }。 该 假定 是 合理 的 ,因为 通信 和 链 路 在 传输 数据 包 时 ,并 不 区 分 不 
同 包 的 数据 类 型 。p1 反映 了 通信 和 链 路 的 信道 状况 , 即 一 个 高 的 p, 表明 该 链 路 具有 和 较 高 的 
包 丢 失 率 和 错误 率 。 此 外 , 令 ps= Pri RK 消息 包 认 证 有 效 |RK 消息 被 接收 ) ,pr 二 Pr{ RK 
消息 包 认证 无 效 |RK 消息 被 接收 }。pi ,ps 和 pr 三 者 之 间 存在 如 下 关系 : 

pit pr + ps = 1 (4. 4. 20) 

图 4. 4. 6 中 的 状态 5;,; 表 示 组 用 户 已 经 有 i 个 密 钥 更 新 周期 未 收 到 RefreshKey 消息 
包 , 或 者 已 收 到 j 个 无 效 的 消息 包 。 相 应 地 ,处 于 该 状态 下 的 用 户 , 其 组 密 钥 更 新 消息 缓冲 
区 kb 中 将 出 现 itj 个 空 槽 。 状 态 变 迁 在 如 下 3 种 情况 下 被 触发 : RefreshKey 消息 包 丢 
失 、 接 收 到 无 效 的 RefreshKey 消息 包 和 接收 到 有 效 的 RefreshKey 消息 包 。 

S P(i,j) 表 示 状 态 Siv 处 于 稳定 状态 时 的 概率 , 则 有 


pe * PG,j — D, i=0,j>0 
pCa rage SOO E 71 
pee PG,j—1)+p e PG—1,j), i>0,j>0 
pt/ Cpr + pi)» i=j=0 
其 中 ， 
w= PGiDt+ps. D PGD (4. 4. 22) 


jb HI<6,G,j)F(0,0) 
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实际 上 ,我 们 可 以 用 另外 一 种 方法 来 简化 如 上 稳 态 概率 的 求解 。 对 组 用 户 而 言 ， 
RefreshKey Ñ EBER CE ^E HE p, ) 和 收 到 无 效 的 RefreshKey 消息 包 ( 发 生 概率 是 
zfr) 这 两 种 事件 是 等 价 的 ,因为 它们 对 变迁 的 触发 具有 对 称 性 。 若 我 们 令 状 态 S 表示 用 户 
的 组 密 钥 更 新 消息 缓冲 区 kb HA i AS, AH Markov 链 的 状态 对 称 简化 技术 ， 
图 4.4.6 的 状态 变迁 图 可 以 进一步 简化 为 如 图 4. 4.7 所 示 的 等 价 状态 变迁 图 。 


图 4.4.7 简化 的 等 价 状态 变迁 图 


S P(A) 为 用 户 的 消息 缓冲 区 kb 中 恰好 有 k 个 空 槽 时 的 稳 态 概率 , 则 有 


b 
MPO =1 (4. 4. 23) 
k=0 
根据 全 局 状态 平衡 方程 ,有 
PG) * (ps + pr + p) = PG—1)* Ge pis. i= 02, 
£i (4. 4, 24) 
PO) * (pe + p) = PO) + >) PG) * ps 
i=] 
则 稳 态 分 布 P(k) 由 下 式 得 到 : 
(4. 4. 25) 


PO) = (0— 5/0 — pe) 
Dus = P(0)+ pl. k— 1.2. 


4452 通信 开销 


基于 用 户 的 状态 变迁 模型 ,我们 可 以 定量 地 分 析 GC 和 用 户 之 间 的 通信 开销 。 令 Cim 
和 Ce 分 别 为 传输 InitGroupKey 和 RefreshKey 消息 的 通信 开销 , 令 比率 a= Cus /Cretresh ， 
则 很 明显 a 二 1, 因 为 协议 在 传输 InitGroupKey 消息 有 时 需要 比 RefreshKey 消息 有 更 多 的 
带宽 资源 。 

在 以 下 两 种 情况 下 ,GC 必须 传输 InitGroupKey 消息 给 组 用 户 : 四 当 一 个 新 用 户 加 入 
到 活动 的 组 会 话 时 ,GC 需要 把 当前 的 组 密 钥 更 新 参数 通过 InitGroupKey 消息 发 送 给 该 用 
Pu 四 当 组 用 户 有 多 于 b 个 RefreshKey 消息 丢失 或 认证 失败 时 ,组 用 户 需 向 GC 发 送 
RequestKey 消息 以 明确 请 求 当 前 的 组 密 钥 更 新 消息 。GC 在 收 到 该 请 求 后 , 则 需要 发 送 一 
个 包括 当前 密 钥 更 新 参数 的 InitGroupKey 消息 给 该 用 户 。 

在 这 两 种 情况 下 ,GC 需要 发 送 InitGroupKey 消息 对 请 求 的 用 户 进行 初始 化 。 此 外 ， 
GC 还 需要 周期 性 地 广播 RefreshKey 消息 ,因此 一 个 用 户 通信 开销 的 期 望 值 Ceown 是 


bl 
ElCconm] = Cas * [P(t) + pi] + Creten * >) PCR) (4. 4. 26) 
k=0 
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Eth. p; 为 组 用 户 加 入 组 会 话 的 概率 。 为 方便 分 析 ,我 们 利用 发 送 RefreshKey 消息 的 通信 
开销 Caa 来 规范 化 Ccoum, 即 : 
NCconm = & * [Gi + pr)® * PCO) + pj] + 1 pt + PC) (4.4. 27) 


k=0 


为 了 分 析 组 密 钥 更 新 消息 的 动态 特性 ,我 们 忽略 组 用 户 加 入 的 通信 开销 ,因此 , 式 
(4.4.27) 可 进一步 被 简化 为 


b 
NCeomm — a * [Coi + pr)’ * PC] H- >) ph + PO) (4. 4. 28) 


如 果 Ccomn 接 近 于 1, 则 说 明 RefreshKey 消息 能 够 提供 一 种 良好 的 组 密 钥 更 新 机 制 。 
如 果 Ccomm 接 近 a, 则 说 明 该 协议 效率 较 低 。 图 4. 4. 8 描述 了 在 pp =0.1~0.5 和 a 二 10 的 情 
BLE + Comm 和 密 钥 缓冲 区 长 度 2 之 间 的 函数 关系 。 选择 a = 10 意味 着 传输 和 处 理 
InitGroupKey 的 开销 比 传输 RefreshKey 的 开销 要 高 ,因为 InitGroupKey 包 比 RefreshKey 
包 要 大 。 结 果 表 明 ,每 个 用 户 的 密 钥 缓冲 区 长 度 决定 了 它 的 通信 开销 , 较 小 的 5b 值 将 导致 一 
个 高 的 通信 开销 ,而 较 大 的 5 值 则 会 显著 减少 通信 开销 。 


š 
4 
3 
2 
1 
0 


2.3 4 5 6 7 8 9 10 2.34 56 7 8 9 10 
(a) P, -0.05, a-10 (b) p, —0.15, a=10 


5 
4 
3 
2 
1 
071 23 45 6 7 8 9 10 

(c) 5,7025, a-10 (d) P, -035, a=10 
6 
5 —— P, =0.05 
! a p, -0.15 

Py =0.25 
— Pr =0.. 

ESSE 7^7: 
0 


12345678910 
(e) PL=0.45,¢=10 


4.4.8 规范 化 通信 开销 NCcomm ANS 8 9] Ea TH SE OP K K IE b RAR 


(pr=0. 05~0. 45,a— 10) 


4. 4. 8 表明 ,即使 在 包 丢 失 率 较 大 的 情况 下 (pi 三 0. 30 ,该 协议 的 通信 开销 也 是 有 效 
的 ,因为 如 果 5 三 10, 使 用 Ca 规范 化 后 的 通信 开销 NCcomm 接 近 于 1。 
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4453 计算 开销 


GC 通常 是 一 个 高 性 能 的 服务 器 ,能 够 处 理 复 杂 的 计算 任务 。 因 此 ,我 们 仅 重点 讨论 组 
用 户 节 点 的 计算 复杂 度 。 由 S-GKDS 协议 的 机 制 可 知 ,用 户 的 计算 开销 主要 是 在 处 理 
RefreshKey 或 InitGroupKey 消息 所 耗费 的 哈 希 运算 。 令 N 表示 组 用 户 在 处 理 
RefreshKey 或 InitGroupKey 消息 时 所 进行 的 哈 希 计算 次 数 。 若 节点 密 钥 更 新 消息 缓冲 区 
的 空 槽 数 &E<0, 则 需要 进行 的 哈 希 计算 次 数 N 为 
2， 若 组 密 钥 更 新 消息 RefreshKey 丢失 
N, = +3, 若 组 密 钥 更 新 消息 RefreshKey 认证 无 效 (4. 4. 29) 
上 十 3， 若 组 密 钥 更 新 消息 RefreshKey 认证 有 效 
组 用 户 可 能 因 RK 的 认证 无 效 或 者 组 密 钥 更 新 消息 RefreshKey 的 丢失 ,而 导致 其 组 密 
钥 消 息 缓冲 区 里 所 有 4 个 槽 全 为 空 , 即 & 一 0; 这 时 ,组 用 户 将 向 GC 发 送 RequestKey 消息 以 
得 到 新 的 组 密 钥 更 新 消息 。 而 该 用 户 在 接收 到 新 的 初始 化 消息 InitGroupKey 时 ,需要 进行 
额外 的 5 十 1 次 哈 希 计算 , 即 : 
十 3， 若 组 密 钥 更 新 消息 RefreshKey 丢失 
N, = 


2b--4. 若 组 密 钥 更 新 消息 RefreshKey 认证 无 效 (4. 4. 30) 
b+3, 若 组 密 钥 更 新 消息 RefreshKey 认证 有 效 
相应 地 , 若 组 用 户 的 密 钥 更 新 消息 缓冲 区 有 A 个 空 槽 , 则 相应 的 条 件 期 望 值 ELN, | BE 
MEH k PERJA 


ELN, | k AZN] = | 


2+ pr t(k+3)* (pst pr, kb 


(--D4- G4 D * prs [EN 
(4-3) G— p) 2* i kt 

= PE pi ” (44.31) 
GHISA ps E-b 


最 后 ARAP B BB EAR AS 4) P) =PO) * ph k= 1.2. b, REIT VA E 4 
导出 N WWE EUN, ] 为 


ELN,] =>) ELN | 缓冲 区 kb rfi k A258] P) 


={(b+3) «(1+ pr) +(+1) * pr} * PO) * (pit pr)? 
+ >) (+3) + — pL) +2p.) * PO) e Cpt pi (4.4.32) 
这 里 ,ELN] 可 用 来 近似 表示 组 用 户 的 计算 开销 Coss, , 即 
Cos, = ELN,] (4. 4. 33) 
图 4.4. 9 描述 了 计算 开销 Cou, 和 pr 的 函数 关系 ,其 中 pr 从 0. 05 变化 到 0. 45, 
图 4. 4. 10 描述 了 计算 开销 Coon MAA EHER KE b 的 函数 关系 ,其 中 的 pr 从 0.05 变化 
到 0. 45. pr 则 从 0.05 变化 到 0. 35。 图 4. 4. 11 则 描述 了 计算 开销 Coomp Fl pr 的 函数 关系 ， 
其 中 pr 从 0.05 变化 到 0. 45。 
图 4. 4. 10 的 分 析 结 果 表明 ,每 个 组 用 户 节点 的 计算 开销 是 很 低 的 ,因为 即使 在 非常 亚 
劣 的 通信 环境 下 ,如 pi 一 0.5, 每 个 用 户 对 处 理 RefreshKey 消息 (操作 RK) 仅 需要 计算 少 于 
两 次 哈 希 函数 。 
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—*— PL=0.05 —E— PL-0.15 —4—PL=0.25 *— p,-0.05 —I— PL=0.15 —— PL=0.25 
—*— PL=0.35 —— PL=0.45 —*— PL=0.35 —x— PL=0.45 


0 
00.05 0.10 0.15 0.20 025 0.30 0.35 0.40 0.45 0.05 0.10 0.15 0.20 0.25 0.30 0.35 0.40 0.45 
Pe=Pr{CK fails |CK received} PF=PR{CK fails |CK received} 
(a) 1-5 (b) 1=10 
图 4.4.9 用 户 计算 开销 Coss A pi WKZ CL —0. 05~0, 45) 


2.5 

2.0 — P| -Pr-0.05 

1.5 一 重 一 六 =PF=0.15 
四 一 PL=Pr=0.25 

1o —— L7 Pe70.35 

0.5 —X*— PL =P p=0.45 


0 


5 10 15 20 
图 4.4.10 组 用 户 的 计算 开销 与 组 密 钥 更 新 长 度 4b 的 关系 (m 二 500) 


综 上 所 述 ,图 4.4.9 一 图 4.4.11 的 模拟 分 析 结 果 表 明 , 为 了 保证 较 低 的 通信 和 计算 开 
销 , 理 想 的 组 密 钥 更 新 长 度 应 满足 5 之 10。 在 这 种 情况 下 ,规格 化 的 通信 和 计算 开销 位 于 
1 一 1.5 之 间 ; 这 说 明 ,即使 在 信道 较 高 的 丢 包 率 和 错误 率 下 ,S-GKDS 协议 在 通信 和 计算 开 
销 上 是 仍然 是 有 效 的 。 


一 0 一 PE=0.05 —E— Pp=0.15 —— P,-025 —— P,- 0.05 —8— P4-0.15 ~+ Pr=0.25 
——py-035 —*— PE=0.45 —C— py- 0.35 SH P,- 0.45 


P ti — te — — — — 


9 0.05 0.10 0.15 0.20 0.25 0.30 0.35 0.40 0.45 K 0.05 0.10 0.15 0.20 0.25 0.30 0.35 0.40 0.45 
P, -Pr(Message is lost} P\={Message is lost} 
(a) 1-5 (b) 1=10 


4.4.11. 组 用 户 计算 开销 Coomp HI pr 的 关系 (pr 一 0.05 一 0.45) 


4454 与 其 他 类 似 协议 的 对 比分 析 


表 4.4.1 对 S-GKDS 协议 .Stadden 的 自 愈 协议 中 以 及 Liu-Ningcs 的 自 愈 协议 的 性 能 
进行 了 对 比分 析 。 

存储 开销 : 在 初始 化 阶段 ,每 个 组 用 户 U; 需要 存储 自己 的 身份 标识 i 和 掩 码 多 项 式 
{hj Ge) suas € F Lr] E BR i ABB Ui GO «ha GO m hu GO). PROC OSEREAR HP U: 而 言 ， 
其 存储 复杂 度 为 O(mlogg)。 因 此 ,就 存储 开销 而 言 ,S-GKDS 协议 和 Liu- Ning 的 自 愈 协议 
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表 4.4.1 性 能 对 比 


通信 开销 (组 播 ) 通信 开销 ( 单 播 ) 存储 开销 
S-GKDS O(tlogq) OGnlogq) OCmlogq) 
Staddenbo] Olm? + mt) logg) O(n? logq) Olm’ logq) 
Liu-Ning57 OCGnt+ m+t)logg) OGnlogg) OCmlogq) 


基本 一 样 ,都 为 OGnlogq) sii Stadden 的 自 愈 协议 则 为 OG? logg) ,其 存储 优化 的 效果 是 显 
著 的 。 

通信 开销 : 广播 消息 B; 包括 在 第 j 次 会 话 中 由 GC 所 撤销 的 组 用 户 标识 集 和 一 个 1 维 
多 项 式 wj (Cz)。 因 此 ,S-GKDS 的 通信 开销 是 O(logg)。 相 应 地 ,Stadden 的 组 密 钥 分 发 协 
议 则 为 Omt? 十 mz)1logq) ,Liu-Ning 的 组 密 钥 分 发 协议 则 为 OCCmi 十 十 站 logg)。 显 然 ， 
S-GKDS 协议 使 得 GC 和 组 用 户 之 间 的 广播 通信 开销 得 到 了 显著 的 优化 ,因为 广播 消息 包 
的 大 小 被 减少 到 O(logg)。 特 别 地 ,由 于 S-GKDS 协议 的 通信 开销 独立 于 组 通信 的 最 大 会 
话 次 数 m, 只 与 撤销 的 最 大 用 户 数 1 相关 ,这 使 得 当 wm 较 大 时 ,协议 的 优化 效果 将 更 为 显著 。 


45 基于 时 限 用 户 撤 销 机 制 的 自 意 组 密 钥 分 发 协议 


在 B-GKDS 和 S-GKDS 协议 中 ,组 用 户 的 撤销 机 制 是 一 种 显 式 的 撤销 机 制 , 完 全 通过 
组 密 钥 更 新 消息 RefreshKey 来 实现 。 从 S-GKDS 协议 的 性 能 分 析 可 知 ,这 种 机 制 具有 和 较 
高 的 效率 ,但 也 存在 一 定 的 局 限 性 , 即 被 撤销 的 最 大 用 户 数 受制 于 门限 值 :。 由 于 S-GKDS 
协议 的 通信 开销 是 O(zlogg) , 增 大 门限 值 1 将 显著 增 大 消息 RefreshKey 的 包 长 度 ; 另 一 方 
面 ,S-GKDS 的 协议 机 制 也 不 利于 动态 到 调整 门限 值 1。 

在 自 愈 的 组 密 钥 分 发 协议 S-GKDS 的 基础 上 ,提出 了 一 种 基于 时 限 用 户 撤销 机 制 的 组 
密 钥 分 发 协议 Co (self-healing group key distribution scheme with time-limited user 
revocation,S-GKDS-TL) 。 该 协议 是 SGKDS 协议 的 扩展 , 它 几 乎 完整 地 保留 了 S-GKDS 
协议 的 所 有 基本 特性 ,如 安全 性 、 自 愈 性 、 自 适应 性 和 高 性 能 ,并 克服 了 S-GKDS 协议 中 要 
求 被 撤销 的 最 大 用 户 数 不 超 过 门限 值 1 这 一 限制 。 

S-GKDS-TL 协议 的 实现 可 以 依赖 两 种 模式 : 基于 双向 哈 希 链 (dual directional hash 
chains,DDHC) 的 方法 和 基于 单 向 哈 希 树 (hash binary tree, HBT) 的 方法 。DDHC 和 HBT 
本 身 并 不 是 一 种 组 密 钥 分 发 机 制 , 但 是 它 是 时 限 用 户 撤 销 算法 的 基础 。HBT 方法 比 
DDHC 方法 具有 更 强 的 安全 性 。 

与 SGKDS 协议 相 比 ,S-GKDS-TL 协议 具有 更 优 的 动态 性 能 ,能 够 更 好 地 适应 中 大 规 
模 的 组 通信 环境 中 用 户 频繁 地 参与 或 退出 会 话 。 因 为 时 限 用 户 撤 销 机 制 使 得 组 用 户 能 够 以 
一 种 隐 式 方式 退出 组 会 话 , 则 这 种 机 制 具 有 : 四 用 户 的 退出 并 不 需要 组 管理 中 心 GC 的 直 
接 介入 ; 加 协议 对 撤销 用 户 的 总 数 没有 限制 ; 四 用 户 撤销 算法 具有 较 小 的 计算 和 通信 开 
销 。 时 限 用 户 撤销 机 制 的 引入 使 得 SGKDS-TL 协议 提供 了 两 种 高 效 的 组 用 户 管理 机 制 : 
其 一 是 通过 组 密 钥 广播 更 新 消息 实现 的 显 式 用 户 撤 销 ;其 二 是 通过 时 限 用 户 撤销 机 制 实 现 
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的 隐 式 用 户 撤销 。 这 两 种 撤销 机 制 的 存在 ,使 得 协议 在 组 用 户 频繁 参与 或 退出 组 会 话 时 能 
够 提供 更 好 的 自 适应 性 。 

S-GKDS-TL 协议 具有 和 S-GKDS 协议 一 样 的 安全 性 。 我 们 利用 信息 粹 概念 形式 化 地 
定义 和 描述 了 S-GKDS-TL 协议 的 信息 炉 模 型 ,并 证 明了 S-GKDS-TL 协议 就 信息 论 范畴 
而 言 是 无 条 件 安全 的 。 

S-GKDS-TL 协议 继承 了 S-GKDS 协议 的 所 有 基本 特性 ,并 且 时 限 用 户 撤销 机 制 引 入 
并 未 给 协议 本 身 带 来 显著 的 计算 和 通信 和 负载 ,因为 这 是 一 种 轻 量 级 的 算法 。 因 此 , 与 
S-GKDS 协 议 相 似 ,S-GKDS-TL 协议 同样 可 以 应 用 于 无 线 网 络 、 移 动 网 络 (NEMO 网 ) 和 无 
线 传感器 网 络 这 些 具体 的 组 通信 环境 。 

此 外 ,S-GKDS-TL 协议 能 够 抵御 多 个 用 户 的 同谋 攻击 ,因此 ,S-GKDS-TL 协议 具有 比 
S-GKDS 协议 更 好 的 安全 性 。 同 样 ,利用 S-GKDS-TL 协议 的 信息 箭 模型 ,我 们 证 明了 
S-GKDS-TL 协议 在 信息 论 范畴 内 是 无 条 件 安全 的 。 


4.5.1 S-GKDS-TL hit (i Et pi BOW 


这 里 ,我们 给 出 S-GKDS-TL Pik fci BR, S-GKDS-TL 协议 完全 是 S-GKDS 协 
议 的 扩展 , 它 在 S-GKDS 协议 的 基础 上 ,引入 了 组 密 钥 的 时 限 访问 机 制 。 因 此 ,在 如 下 
S-GKDS 协 议 的 信息 炉 模 型 的 定义 中 ,我 们 主要 引入 了 时 限 组 用 户 撤 销 机 制 的 形式 化 定义 ， 
其 他 与 B-GKDS HN HY fri E di Be — Be 

FEM 4.5.1 [REUS (U, .U; ,…:U,} 是 所 有 可 能 的 组 通信 用 户 的 集合 ,mm 是 组 通信 系 
统 的 最 大 会 话 次 数 ,: 是 GC 所 能 主动 撤销 的 最 大 用 户 数 , 则 Des QU ,i,m) 是 一 个 基于 时 限 
用 户 撤 销 机 制 的 自 愈 组 密 钥 分 发 模型 , 若 如 下 条 件 能 够 满足 : 

COD 对 组 用 户 UEG 而 言 ,组 密 钥 K; 完全 可 以 由 B; 和 它 的 私 钥 S; 决定 , 即 

H(K; | Bj.S) = 0 (4.5.1) 

(2) 对 任何 用 户 子 集 BCU. |B| RE B 中 的 用 户 不 可 能 获得 用 户 UB 的 用 户 私 

钥 Si, 即 


H(K;,S: | B; Bja Bi {Si}ues) = H(K; S4) (4.5.2) 

(3) 不 可 能 单独 从 GC 广播 的 密 钥 更 新 信息 或 组 用 户 私 钥 获得 组 密 钥 , 即 
H(K, .K; .K, | Bj B; -7.B,) = HG, .Ky+**+K,,) (4. 5. 3) 
H(K, Kz SK, | $8; 77.8) = HOS K; 7 K,) (4. 5. 4) 


(4) Dsm.(U,t,m) 能 够 同时 安全 撤销 最 多 1 个 用 户 的 能 力 : 设 每 次 会 话 j 被 撤销 的 组 
HP EE RSR UR; UUR IRISEAN R 中 的 组 用 户 不 可 能 利用 GC 广播 的 组 密 钥 更 
新 信息 B; 去 恢复 出 当前 的 组 通信 密 钥 天) , 即 

H(K; | B;-B;-: Bi (Sio ex) = H(K;) (4. 5. 5) 

(5) 对 用 户 U;EG,, 若 其 在 会 话 7 CRISI CBE AB, | 1r m) ,但 在 会 话 * 前 一 直 
BOR SUUS Cr sno , 则 该 用 户 可 利用 会 话 s CRI AG 59] EGET CB, Lr Ls 恢复 所 有 
AY £g 38 fei BH CK, | n s) . 

H(K, -K,4 77K, | B..B..S) 一 0 (4.5.6) 

(6) (时 限 访问 特性 ) 对 活动 周期 为 [~,s] 的 用 户 U; EG, 而 言 ,其 在 会 话 r 加 入 组 通信 ， 


714: 。 网络 安全 控制 机 制 


W U; 仅 能 获得 [r,s] 之 间 的 组 密 钥 K; rj ss) ;而 无 法 获得 [1,r 一 1] 和 [s 十 1,mj] 之 间 的 组 
密 钥 , 即 
HK, , Ka Ka SK, | Bison Bus {Si}u, €c) 
—H(G, Ka Ka cn Ky) (4. 5. 7) 
定义 4.5.1 的 性 质 (1) 一 性 质 (5) 完 整地 继承 了 定义 4.4. 1 的 性 质 ;而 定义 4.5. 1 中 的 
性 质 (6) 则 描述 了 组 密 钥 分 发 模型 Ds (CU,z,z) 的 时 限 用 户 撤销 机 制 。 同 样 ,考虑 到 组 密 
钥 分 发 协议 的 安全 性 需求 ,Dsm.(U,t,m) 还 应 满足 组 密 钥 的 前 向 隐私 性 和 后 向 隐私 性 ( 定 
义 4.3.6)。 


4.5.2 隐 式 组 用 户 撤销 机 制 


在 S-GKDS 协议 中 ,组 用 户 的 撤销 机 制 是 一 种 显 式 撤销 机 制 , 它 完全 通过 组 密 钥 更 新 
消息 RefreshKey 来 实现 。 具 体 而 言 ,组 密 钥 的 更 新 消息 保证 了 组 密 钥 的 后 向 隐私 性 ;而 组 
密 钥 的 前 向 隐私 性 则 是 通过 前 向 喻 希 链 K 来 保证 的 。 

与 S-GKDS 类 似 ,S-GKDS-TL 协议 的 隐 式 用 户 撤 销 机 制 同 样 依赖 于 喻 希 链 的 单 向 性 ; 
所 不 同 的 是 ,S-GKDS-TL 通过 引入 双向 喻 希 链 (dual directional hash chains, DDHC) 来 保 
证 组 密 钥 的 前 向 和 后 向 隐私 性 。 


4521 双向 哈 希 链 


双向 喻 希 链 (DDHC) 由 两 个 同等 长 度 的 单 向 喻 希 链 组 成 : 前 向 哈 希 链 天 ”和 后 向 哈 希 
链 K”。 每 一 个 喻 希 链 通过 在 一 个 秘密 种 子 上 重复 应 用 一 个 单 向 喻 希 函 数 五 来 产生 ， 
DDHC 由 以 下 步骤 产生 : 产生 两 个 随机 密 钥 种 子 值 ,K5 和 K3 ,前 向 和 后 向 哈 希 函数 的 长 
EJ m; @ 对 每 个 种 子 值 重复 使 用 相同 的 单 向 哈 希 函数 H 产生 两 个 长 度 同 为 m 的 喻 希 链 : 
(KT. HOKID H' (KE) +, H" (KE) }, 
{K8,H(K2) ++. H (K8), , H™ (K8) }. 
S-GKDS- TL 通过 引入 了 双向 哈 希 链 : 前 向 哈 希 链 KE 和 后 向 哈 希 链 天 ,来 分 别 保证 
组 密 钥 的 后 向 和 前 向 隐私 性 ,同时 也 提供 了 一 种 有 效 的 隐 式 用 户 撤销 机 制 。 
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时 限 用 户 的 撤销 机 制 适用 于 不 同时 间 段 采用 不 同 密 钥 加 密 的 安全 组 通信 应 用 中 。 如 电 
视 节目 不 同时 间 段 采用 不 同 的 密 钥 加 密 。 

时 限 用 户 撤销 机 制 是 由 DDHC 实现 的 。 令 m 是 组 通信 系统 的 最 大 会 话 次 数 。 在 
S-GKDS-TL 中 ,所 有 的 组 用 户 均 有 明确 的 活动 周期 [ji ,jz], 即 该 用 户 在 会 话 户 加 入 活动 
组 ,而 在 会 话 j 退出 活动 组 。 另 外 ,在 活动 周期 [jj; ] 期 间 .GC 还 可 以 利用 S-GKDS 的 用 
户 撤销 方式 主动 .强制 性 地 显 式 撤销 该 用 户 。 

基于 双向 哈 希 链 DDHC 的 隐 式 用 户 撤销 机 制 如 图 4. 5. 1 所 示 ,这 是 一 种 时 限 的 撤销 方 
式 。 图 4.5.1 中 阴影 部 分 的 哈 希 链表 示 活 动 周期 为 [ji ,j; ] 的 组 用 户 所 不 能 访问 的 哈 希 值 。 
当 一 个 组 用 户 U, EZH ji 加 入 到 一 个 活动 组 时 ,GC 将 根据 用 户 U; 的 活动 周期 [ji ,js] 分 
配 一 对 哈 希 值 (Hi (Ks),H” i (K3)) 给 该 用 户 : 其 中 H^ (Ks5) 对 应 于 前 向 链 KE 上 的 哈 希 
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HKE) || H*XKD)|. HAKE) | KL) 


前 向 链 _| KE = aed) 


后 向 链 HKE = [HKD 


Hr ume MK) KE 


会 话 期 1 | m | ip | j+ o h dm Je m 


图 4.5.1 隐 式 用 户 撤销 : 基于 双向 哈 希 链 DDHC 的 时 限 用 户 撤销 


值 ,而 H" (K3) 对 应 于 后 向 链 OK? 上 的 哈 希 值 。 显 然 , 这 种 双向 哈 希 链 使 得 活动 周期 为 
Gi 20 BO 8 HIP R fE RS] SE UP IRE Ye j, S; Sj, 范围 内 的 DDHC, Hl (CH? (Ks)， 
H'"(KPDlASj&ji. 

DDHC 的 前 向 哈 希 链 K^ 有 效 地 保证 了 组 密 钥 的 后 向 隐私 性 。 对 在 会 话 ja 加 入 活动 
组 的 用 户 而 言 ,由 于 哈 希 链 的 单 向 性 , 它 难以 计算 在 会 话 记 以 前 的 喻 希 值 序列 {Hi CKE) | 
1Sj<ji} ;而 对 会 话 记 以 后 ( 含 会 话 1) 的 哈 希 值 ,组 用 户 则 能 使 用 预先 分 配 的 哈 希 种 子 值 
H^ (K?) 来 计算 前 向 链 KE PORE n gne EC P CHA KE) | jm 

HI (KE) = HF (H^ (KE)) (4.5.8) 

组 密 钥 的 前 向 隐私 性 则 依赖 于 DDHC f Jes a ir K^. RE PT AO D je 109 
组 用 户 而 言 , 它 将 在 会 话 je 后 离开 活动 组 。 后 向 哈 希 链 K^ 的 单 向 性 ,使 得 它 难以 计算 在 
Zu js 以 后 的 哈 希 值 序列 {Hi(K5)|j, 二 j 志 mm)} ;而 对 会 话 js 以 前 ( 含 会 话 7 ) 的 哈 希 值 , 组 
用 户 则 能 使 用 预先 分 配 的 哈 希 值 H” (Ks) 来 计算 K? 中 对 应 的 哈 希 值 序列 {H” CKE) | 
1<j<j,}: 

H™i(Ks) = Hii(H™i: (Ks)) (4.5.9) 

在 S-GKDS- TL 协议 中 ,对 活动 周期 是 [1,mj 的 组 系统 ,会 话 j 的 组 通信 和 密 钥 被 定义 为 
js H(OKID, H" (KE) RK; 的 函数 : 

TEK; = f(H (KE), H™i(KS),RK,) (4.5.10) 
Hopes KE 和 KE 4r Ii H8] AI [8] Per iE BY BPs PB) te — A PR 
数 , 它 能 把 任意 长 度 的 消息 经 过 处 理 后 输出 为 一 个 固定 长 度 的 值 ; RK; 来源 于 GC 的 第 j 次 
组 密 钥 更 新 消息 ,其 更 新 处 理 机 制 与 S-GKDS 相似 。 

从 组 通信 密 钥 的 构造 方式 可 知 ,双向 哈 希 链 DDHC 能 够 有 效 地 同时 保证 组 密 钥 的 前 向 和 
后 向 隐私 性 。 双 向 哈 希 链 DDHC 的 单 向 性 使 得 只 有 同时 具有 了 哈 希 值 { Hi CKD). Hi CKS) JI 
组 用 户 U, 才能 访问 在 (j,,j;) 范 围 的 组 密 钥 TEK。 因 为 U 能 够 使 用 预先 分 发 的 喻 希 值 
{Hi (KE) , H": (KB) ETE UH CKE) | ji jim AH" (KP) | 1 Sj Sj.) s TM FP 
Gi i PEZ i jj 或 7 全 产 , 组 用 户 则 不 可 能 同时 计算 出 CKD) AH" (Ke), 
进而 也 不 可 能 计算 出 在 会 话 j 时 的 TEK。 因 此 每 个 组 用 户 只 能 按照 它 的 活动 周期 [j) ,j;]， 
在 预先 定义 的 活动 周期 内 访问 组 密 钥 并 参与 组 通信 。 

这 是 一 种 隐 性 的 限时 用 户 撤 销 方法 ,因为 一 旦 U; 的 活动 周期 过 期 Cj 过户 ), 它 将 自动 退 
出 通信 组 而 不 需要 GC 的 直接 干涉 。 
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4.5.3 S-GKDS-TL 组 密 钥 分 发 协议 


S-GKDS-TL 协议 的 体系 结构 和 组 密 钥 更 新 消息 的 广播 机 制 基本 上 与 SGKDS 相似 ， 
但 在 S-GKDS-TL 协议 中 ,组 用 户 的 初始 化 、 组 密 钥 的 更 新 以 及 组 用 户 的 动态 参与 机 制 和 
S-GKDS 略 有 不 同 , 关 键 体现 在 组 密 钥 的 生成 机 制 和 组 用 户 的 动态 参与 机 制 上 。 因 为 
S-GKDS-TL 协 议 不 但 保留 了 S-GKDS 中 显 式 的 组 用 户 动态 参与 机 制 ,还 提供 了 一 种 灵活 的 
隐 式 动态 用 户 参 与 机 制 。 


4531 S-GKDS-TL 组 用 户 的 初始 化 


与 S-GKDS 协议 相似 ,在 S-GKDS-TL 组 用 户 的 初始 化 阶段 ,组 管理 中 心 GC 同样 需要 
从 F,[zJj 中 随机 地 选取 m 个 度 为 1 的 屏蔽 多 项 式 : 

{hj(z) = hoy d hir +e hujx'l;nsem € Fx] (4.5, 11) 

另外 ,为 保证 组 密 钥 的 后 向 和 前 向 隐私 性 ,S-GKDS-TL 的 GC 需 预 先 计 算 一 条 双 
向 哈 希 链 DDHC: 前 向 哈 希 链 KP = (KE. HKE) oe! OKT } 和 后 向 哈 希 链 K^— 
{H OK) H"? (KE) KT) Bob 28 T Hie 059] TAB A BL GC 还 需 
预先 计算 一 个 密 钥 更 新 消息 RK B0 3 18] PB ( RK, | 7 = 1.2. m) ,并 满足 RK, = 
H(RK;j+:) ,0<i<m-—1. 

随后 ,GC 利用 多 项 式 (hj(z));=1,2,…,w 为 每 个 在 初始 化 阶段 加 入 活动 组 的 用 户 U; 产生 
m PERELE S= {hi G) sho Gi) oe sh, (7?)) ,并 通过 InitGroupKey 消息 将 这 m 个 秘密 私 钥 
Un Gh; GO «tu GO) RAI 1 所 对 应 的 双向 链 KF 和 K 上 的 喻 希 值 {H(K?)， 
H 1(K3)}) 通 过 安全 可 靠 的 信道 预先 分 发 给 用 户 U;。 

GC >U; : (Eus, (b | RKorz | Totes | HOKE) | HT CX | 36D | e | am GG) | 

MAC( | RKas | Te | HOKE) | H (KB) | ài OD | … | An G))}5 
其 中 ,6 是 密 钥 更 新 消息 RK 的 缓冲 区 长 度 ; Ts 是 组 密 钥 更 新 周期 , 即 组 会 话 间隔 时 间 ; 
MAC(。) 是 产生 消息 验证 码 的 散 列 函数 (如 SHA1,MD5);MK, 是 用 户 U 与 GC 共享 的 主 
密 钥 ,用 于 InitGroupKey 消息 的 加 密 和 验证 。 

U; 一 旦 接收 到 InitGroupKey 消息 ,首先 验证 该 消息 的 真 伪 ; 若 为 真 , 则 U; 利用 MK; 
解密 该 消息 并 获得 相应 的 秘密 私 钥 S Un CD ha GO «mh GO) ,双向 蛤 希 链 KE 和 K3 上 
fo ds (HKD), A" CKE)) ,以 及 密 钥 更 新 消息 RK BES «FH PURI FH IRI ERICH 计 
算 其 他 喻 希 序列 值 { RK;);-1,2.…,4s+1 ;复制 RK 消息 序列 到 它 对 应 的 密 钥 更 新 消息 缓冲 区 和 
密 钥 更 新 消息 槽 ;计算 组 密 钥 {TEK; 二 了 (HI (KS5),H”i(K3),RK;));-1z 并 复制 到 对 应 的 
组 密 钥 模 中 ;最 后 指定 TEK, 为 当前 活动 的 组 密 钥 。 在 完成 这 些 初始 化 处 理 后 ,组 用 户 通过 
接收 随后 的 密 钥 更 新 消息 RefreshKey 来 同步 地 更 新 组 密 钥 。 其 他 详细 的 组 用 户 初始 化 和 
组 密 钥 的 更 新 机 制 可 参见 图 4. 4. 4 和 算法 4.4.1。 


4532 SGKDSTL 组 密 钥 的 恢复 机 制 
S-GKDS-TL 组 密 钥 更 新 消息 的 广播 机 制 与 SGKDS 基本 一 致 。 在 用 户 初始 化 后 ,GC 
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将 周期 性 地 将 密 钥 更 新 消息 {RK; | RK;_1 = HORKO ,i 二 1,2,…,m}) 按 逆序 依次 分 发 给 所 有 
的 活动 用 户 , 即 RK, 释放 给 会 话 1,RK, 释放 给 会 话 2,… ,RK,, 释放 给 会 话 m 等 。 因 此 ,给 
定 哈 希 链 中 的 RK; ,用 户 能 够 使 用 单 向 函数 及 来 计算 以 前 的 密 钥 {RK;|1 志 i 过 j}) , 却 不 能 计 
算出 其 他 的 密 钥 {RKi|j 十 1 二 in}。 

随后 ,对 于 GC 的 第 j 次 组 密 钥 更 新 ,GC 将 广播 如 下 的 组 密 钥 更 新 消息 RefreshKey 
(或 称 为 B;) 给 所 有 活动 用 户 : 

GC * : (w(x) | {R} | MACC{R} | w,(z))}, 
其 中 ,多 项 式 rw Goog; (x) * RK; +h; GO ,hj(z) 是 屏蔽 多 项 式 ; RK; 是 当前 的 组 密 钥 更 新 
WA sR=R,UR,-, Us UR: CR|<v,. RNG, =) EERW j B CLA 力 被 撤销 的 所 有 用 户 
集 ; 多 项 式 g;(z) 按 如 下 方式 构造 : 
ga) = [e-r (4. 5. 12) 
ER 


一 旦 收 到 RefreshKey 消息 ,活动 的 组 用 户 将 进行 组 密 钥 的 更 新 或 密 钥 的 恢复 ( 若 在 此 
之 前 存在 丢失 的 密 钥 更 新 消息 包 )。S-GKDS-TL 组 密 钥 的 恢复 机 制 与 S-GKDS 协议 相似 ， 
算法 4.4. 3 详细 描述 了 组 用 户 对 消息 组 更 新 消息 RefreshKey 的 处 理 过程 。 对 某 一 特定 的 
活动 用 户 U EG: 而 言 , 当 收 到 GC 广播 的 组 密 钥 更 新 消息 Bi 时 , 它 首先 计算 多 项 式 wj (x) 
Tg; a TER i ABI E o; GO HL g; GO. HEUER WA g; 40, A. H P1 U; 可 以 利用 
它 在 初始 化 阶段 保留 的 秘密 私 钥 WR w GOL g GO IE — 2p PACA thy PH E 0 ZH s 09] ECT 
消息 RK;. 

RK; = Go; (i) — h; G)) /g;GD (4. 5.13) 
随后 ,活动 用 户 U, € G; 可 按 下 式 计算 当前 的 组 通信 和 密 钥 : 
TEK; = f(H'(K'),H"™?(K®),RK;). 

另 一 方面 ,对 于 R=Rj UR; U-- UR, CRIS) ms GC 撤销 的 用 户 U, 而 言 ,由 于 
{gj(7) 二 0| VU, € R) «wj; GO =g; GO * RK; +h; G) =h; (7), 因 此 ,即使 他 们 同谋 (|R|<w) 
也 难以 计算 出 当前 的 组 更 新 消息 RK; ;进而 也 难以 计算 与 之 对 应 的 组 通信 密 钥 TEK; = 
fCH' CK), H" 4 (K®),RK;). 

组 密 钥 TEK 和 密 钥 更 新 消息 能 够 同步 地 进行 更 新 。 由 于 RK 序列 的 单 向 性 ,接收 者 可 
以 通过 验证 HH CRK ) 取 kb[5 一 ej 来 确认 RK 是 否 属于 相同 的 组 密 钥 更 新 消息 序列 。 

由 于 在 组 密 钥 的 更 新 仅 需要 处 理 低 开销 的 哈 希 运算 ,因此 组 密 钥 更 新 操作 的 计算 开销 
并 不 大 。 同 时 ,组 密 钥 更 新 消息 的 隐 性 认证 机 制 使 得 GC 和 用 户 之 间 无 需 消息 重 传 ,这 也 极 
大 地 减少 了 协议 通信 开销 。 


4533 ”S-GKDS- 直 组 密 钥 的 自 愈 机 制 


单 向 哈 希 链 为 组 密 钥 的 更 新 提供 了 一 种 有 效 的 自 傅 方法。 正如 上 文 所 提 到 的 ,每 一 个 
有 效用 户 都 能 够 在 会 话 (1 二 j 二 m) 计 算出 TEK: 
TEK, = f(Hi(KF),H™i(KS),RK,), 
Hop. H (KDA H COKE SPAS BER fe E ET i rh fe. D y i—i h A be dE 
通过 预先 分 发 的 哈 希 值 (ECKI) , H” (KE) rip 8H. HA CKD) I H” (KE); mi RK; 
则 被 封装 在 密 钥 更 新 消息 RefreshKey 中 ,由 GC 周期 性 地 分 发 给 所 有 活动 用 户 。 因 此 ,只 
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要 能 够 保证 更 新 消息 中 RK 的 自 愈 性 ,就 能 保证 组 密 钥 的 自 愈 更 新 。 

为 此 ,在 S-GKDS-TL 中 必须 提供 一 种 机 制 , 使 得 组 密 钥 更 新 消息 能 够 在 广播 信道 上 可 
靠 地 传输 。 与 S-GKDS 相似 ,S-GKDS-TL 组 密 钥 的 自 愈 机 制 同样 依赖 于 哈 希 链 的 单 向 性 。 
在 初始 阶段 ,GC 必须 先 选择 一 个 随机 数 RK, 作为 哈 希 链 的 秘密 种 子 值 ,随后 重复 执行 哈 
希 函 数 互 , 利 用 公式 RK; = HORKi41) «dim — 1 来 计算 剩 下 的 哈 希 值 ,最 终 获 得 喻 希 链 
(RK,li—1.2,-. m). 

在 随后 的 密 钥 更 新 阶段 ,所 有 的 {RK;|1 达 i 三 m 一 1}) 将 由 GC 按 逆序 分 发 给 所 有 的 用 
户 , 即 RK, 释放 给 会 话 1. RKo 释放 给 会 话 2,… ,RK, 释放 给 会 话 m 等 。 给 定 哈 希 链 中 的 
RK, ,用 户 仅 能 够 使 用 单 向 函数 玉 来 计算 以 前 的 密 钥 {RK;|1 志 i 过 j) , 却 不 能 计算 出 其 他 的 
SARK |j +1<i<n}. 

因此 ,尽管 密 钥 更 新 消息 很 可 能 在 传输 过 程 中 丢失 ,但 组 密 钥 更 新 信息 的 哈 希 链 却 能 够 
提供 一 种 有 效 的 自 愈 机 制 。 因 为 组 用 户 可 以 通过 单 向 哈 希 函数 和 最 近 接收 到 的 RK 来 恢复 
先前 丢失 的 密 钥 更 新 消息 RK ,进而 能 够 成 功 地 通过 计算 获得 当前 的 组 密 钥 TEK, IESU 
S-GKDS-TL 和 S-GKDS 协议 的 相似 性 ,这 种 自 愈 算法 同样 能 够 有 效 地 容忍 较 高 的 丢 包 率 


4534 ”组 用 户 的 动态 参与 机 制 


组 用 户 的 动态 参与 机 制 要 求 协议 在 用 户 加 入 或 离开 活动 组 的 情况 下 ,能 够 有 效 地 保证 
组 会 话 密 钥 的 前 向 隐私 性 和 后 向 隐私 性 。 

用 户 离开 : S-GKDS-TL 协议 在 此 同时 提供 了 两 种 灵活 的 组 用 户 撤 销 机 制 : 显 式 用 户 
撤销 和 隐 式 用 户 撤销 。 显 式 的 组 用 户 撤销 机 制 与 B-GKDS 基本 一 致 ,是 通过 组 密 钥 的 更 新 
消息 来 实现 的 。 

CD 显 式 用 户 撤销 : 假设 在 第 j 次 会 话 中 ,GC 需要 撤销 用 户 U, , 则 只 需要 U, 包括 在 广 
播 消息 B, 的 {R} 集 合 中 , 即 ULER。 由 于 {g o=o] VU, € RJ HIP U, 无 法 利用 广播 的 密 
钥 更 新 消息 B; 及 其 先前 保存 的 秘密 h;(r) 去 计算 当前 的 组 密 钥 更 新 消息 RK; ,自然 也 就 无 
法 计算 组 密 钥 TEK;. 

(2) ERAPR: DDHC 的 后 向 哈 希 链 K^ 保证 了 组 密 钥 的 前 向 隐私 性 。 对 活动 周 
期 为 [ji ,j;] 的 组 用 户 而 言 , 它 将 在 会 话 jo 后 离开 活动 组 。 后 向 哈 希 链 KP 的 单 向 性 ,使 得 
组 用 户 能 使 用 预 分 配 的 哈 希 值 H”" 2(K5) 来 计算 KE 中 对 应 的 在 会 话 j。 以 前 ( 含 会话 je) 
AQUA ds Fe HKE) | 1 Sj <j. } ,其 中 Hm"i(K3)= 一 Hii(H™iz(K8)); 而 它 难以 计算 在 
会 话 js 以 后 的 哈 希 值 序列 {Hi(K3)|j, 二 j 三 m) ,进而 ,用 户 不 可 能 计算 会 话 j 以 后 的 组 密 
$H TEK; = f H (KẸ) , H" (KS3),RK;), 其 中 (j 记 j;)。 我们 称 这 是 一 种 隐 性 的 限时 用 户 撤 
销 机 制 , 因 为 一 旦 U 的 活动 周期 过 期 (j 记 j;), 它 将 自动 退出 通信 组 而 不 需要 GC 的 直接 
干涉 。 

用 户 加 入 : MHP U, 希望 在 会 话 j 加 入 活动 组 ,其 相应 的 处 理 与 组 用 户 在 S-GKDS- 
TL 协议 初 启 时 的 初始 化 过 程 相似 , 即 : 

CD HP U, 首先 需要 从 GC 获得 加 入 活动 组 的 许可 ;如 果 成 功 ,U, 建立 一 个 与 GC HE 
享 的 主 密 钥 MK;。 随 后 GC HU, 产生 m 一 j 十 1 个 秘密 私 钥 { 记 (Co) ha GOD t hu GO ) ,并 
通过 InitGroupKey 消息 将 秘密 私 钥 {h;(v) shj CoD ett hy (v)} 和 与 会 话 j 对 应 的 哈 希 链 
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KF 上 的 值 H’'(K?5) 通 过 安全 可靠 的 信道 分 发 给 用 户 U,: 
GC >U, : (Ey, C | RK | Tages | Hi UKE) | hj Cv) | … | Am (vd) | 
MAC(b | RKere | Tess | Hi (Ks) | hj) | | hn COD). 


其 中 ,共享 的 主 密 钥 MK, 用 于 InitGroupKey 消息 的 加 密 和 验证 ; H CKD) J& U, 在 前 向 哈 
希 链 中 与 会 话 j 对 应 的 哈 希 值 ;2 是 密 钥 更 新 消息 RK 的 缓冲 区 长 度 ; Te 是 密 钥 更 新 
周期 。 

(2) 用 户 U, 一 旦 接收 到 InitGroupKey 消息 , 则 按照 算法 4. 4. 1 处 理 该 消息 ,然后 加 入 
到 活动 组 通信 ,接收 随后 的 密 钥 更 新 消息 RefreshKey, 并 同步 地 更 新 组 密 钥 TEK, 如 算 
法 4.4.3 所 示 。 


4.5.4 安全 性 分 析 


这 里 ,我 们 对 S-GKDS-TL 协议 进行 与 SGKDS 相似 的 安全 性 分 析 。 在 如 下 的 推导 过 
Bip ,我们 用 随机 变量 K; 表示 对 应 的 组 密 钥 TEK; 。 

定理 4.5.1 组 密 钥 管理 协议 S-GKDS- TL 能 够 同时 安全 地 主动 撤销 最 多 1 个 用 户 ; 
并 且 , 就 信息 论 范畴 而 言 ,S-GKDS-TL 协议 是 无 条 件 安全 的 。 

证 明 : 依据 定义 4.5.1, 假 定 U= (U; .U;,…,U,) 是 所 有 可 能 的 组 用 户 集 ;R; SU 是 第 j 次 
会 话 中 由 GC 所 撤销 的 组 用 户 ;R=R; UR). Ue UR (ORIS D ,是 在 会 话 j 被 撤销 的 所 有 
组 用 户 集 ;J ;SU 是 第 j 次 会 话 中 新 加 入 的 组 用 户 ; G= (G;-1UJ;)\R; 是 第 j 次 会 话 中 合 
法 的 组 成 员 。 

对 比 定义 4. 5. 1 和 定义 4. 4. 1 可知, 组 密 钥 分 发 模型 Dsi (U, tm) WHEE G) ~ 
性 质 (5) 完 整地 继承 了 Ds (U,t,m) 的 相关 特性 ;并 在 此 基础 上 ,定义 4.5.1 的 性 质 (6) 引 入 
了 组 密 钥 的 时 限 访问 特性 。S-GKDS-TL 协议 完全 是 SGKDS 协议 的 扩展 , 它 具 有 S-GKDS 
协议 的 安全 特性 。 因 此 ,S-GKDS-TL 协议 满足 Ds QU t, m) ERI Bj SCR TE EC) — 
性 质 (5)。 如 下 只 需 证 明 S-GKDS-TL 协议 能 够 满足 Dsm.(U.i,m) 所 定义 的 性 质 (6), 即 组 
用 户 的 时 限 访问 特性 。 

事实 上 ,基于 双向 哈 希 链 DDHC 的 限时 用 户 撤 销 算法 保证 了 活动 用 户 的 时 限 访问 特 
性 。 假 设 活动 周期 为 [ji ,jj 的 用 户 U;€EG, TE rif j 加 入 会 话 , 则 在 活动 周期 内 ,U; 可 以 
使 用 预先 分 配 的 种 子 值 { Hi CKE), H” (K3)}) 来 计算 在 DDHC 中 [ji,jsj] 之 间 的 哈 希 值 
HH KZ H” (KẸ); IRJA U: 可 以 根据 它 接收 的 组 密 钥 更 新 消息 Bj 来 计算 多 项 式 wj (zx) 
和 gj(z) 在 点 i 处 的 值 wj DA gj; (让 ;并 进一步 利用 它 在 初始 化 阶段 保留 的 秘密 私 钥 GD) 
以 及 w (让 和 gj; 疏 恢 复出 当前 的 组 密 钥 更 新 消息 RK; = Gw; GO —h (站)/gj;(i); 最 后 ,用 户 
UEG: 可 以 计算 出 会 话 j IMAHE TEK; = fH CKE), H” (K3), RK;). 

R jj xk jm js 时 ,用 户 U; 则 不 能 有 效 地 通过 计算 得 到 组 密 钥 TEK; ,因为 双 
向 哈 希 链 DDHC 的 单 向 性 使 得 用 户 U; 很 难 计算 在 它 加 入 组 会 话 记 之 前 的 HY KE) GG < 
jO ,以 及 在 它 离开 组 会 话 j, 之 后 的 H"i(K3)(j 之 j,), 即 组 用 户 U; 被 限制 在 [ji ,jj 内 访 
fa] DDHC 双向 链 之 间 的 哈 希 值 。 

因此 ,活动 周期 为 [r,s] 的 用 户 U;EG, 在 会 话 r 加 入 组 通信 后 , 它 仅 能 获得 [x,s] 之 间 的 
组 密 钥 Kj ,r 过 j 二 ;而 无 法 获得 [1,r 一 1] 和 [s 十 1,mj] 之 间 的 组 密 钥 , 即 有 下 式 成 立 : 
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HGOG «Kao Ko tKa | Brett? + Bu {Siuec) = HK: «7 ,Ke ,Ks 00t Kn) o 

定理 4.5.2 组 密 钥 管理 协议 S-GKDS-TL 能 够 保证 组 密 钥 的 前 向 隐私 性 和 后 向 隐 
私 性 。 

在 此 ,我 们 不 再 严格 地 证 明 该 定理 , 仅 作 一 般 意义 上 的 阐述 。 事 实 上 ,从 定理 4.5.1 的 
证 明 过 程 可 知 ,Ds(U,t,m) 模 型 的 性 质 (6) 已 经 隐 含 了 组 密 钥 的 前 向 和 后 向 隐私 性 。 也 即 ， 
双向 哈 希 链 DDHC 的 限时 用 户 撤销 算法 有 效 地 保证 了 S-GKDS-TL 协议 中 组 密 钥 的 前 向 / 
后 向 隐私 性 。 


4.5.5 人 性 能 分 析 


与 SGKDS 相 比 ,S-GKDS-TL 协议 仅 引入 了 时 限 的 组 用 户 撤销 功能 。 然 而 在 具体 的 
实现 机 制 上 ,S-GKDS-TL 协议 则 仅 增 加 了 一 条 后 向 喻 希 链 KP 来 保证 时 限 用 户 撤销 机 制 的 
实现 。 因 此 ,GKDS-TL 协议 和 S-GKDS-TL 协议 具有 相似 的 性 能 。 在 此 ,限于 篇 幅 , 我 们 不 
青 作 详 细 而 类 似 的 讨论 。 

表 4.5.1 分 别 对 S-GKDS-TL 协议 .S-GKDS 协议 、Stadden 的 自 愈 分 发 协议 以 及 Liu- 
Ning 的 自 愈 分 发 协议 进行 了 性 能 对 比分 析 。 


表 4.5.1 性 能 对 比 
通信 开销 (组 播 ) 通信 开销 ( 单 播 ) 存储 开销 
SGKDS O(tlogq) OCnlogq? OCmlogq? 
S-GKDS-TL OCtlogq) O(mlogq) O(nlogq) 
StaddenDo] OCOnt? + mt )logq) Olm’? logq) Olm? logq? 
Liu-Ningi*) OC mt +m+1)logq) O(mlogq) OCnlogg) 


存储 开销 : 在 初始 化 阶段 ,每 个 组 用 户 U; 需要 存储 自己 的 身份 标识 i 和 掩 码 多 项 式 
{hj G0) mises € For] E i AEII hi 6 站 ,hs( 门 ,…,h.( 让 })。 因 此 ,对 所 有 用 户 U, 而 言 ， 
其 平均 存储 复杂 度 为 O(mlogg)。 因 此 ,就 存储 开销 而 言 'S-GKDS 和 S-GKDS-TL 协议 与 
Liu-Ning 的 自 愈 协议 基本 一 样 ,都 为 Olmlogg); 而 Stadden 的 自 愈 协议 则 为 OOGn’ logg) ,其 
存储 优化 的 效果 是 显著 的 。 

通信 开销 : 广播 消息 B, 包括 在 第 j 次 会 话 中 由 GC 所 撤销 的 组 用 户 标 识 集 R 和 一 个 上 
维 多 项 式 rwj (z); 因 此 ,S-GKDS 和 S-GKDS- TL 协议 的 通信 开销 都 是 O(tlogg), 而 
Stadden 的 组 密 钥 分 发 协议 则 为 Ont? +mt) logg) ,Liu-Ning 则 为 OCGmt+-m +1) logg). 
显然 ,S-GKDS-TL 协议 和 S-GKDS 协议 使 得 GC 和 组 用 户 之 间 的 广播 通信 开销 得 到 了 显著 
优化 ,因为 组 密 钥 广播 消息 包 的 大 小 被 减少 到 O(tlogg)。 特 别 地 ,由 于 S-GKDS-TL 协议 
的 通信 开销 独立 于 组 通信 的 最 大 会 话 次 数 m, 只 与 撤销 的 最 大 用 户 数 1 相关 ,这 使 得 当 m 较 
大 时 ,协议 的 优化 效果 将 更 为 显著 。 


4.5.6 时 限 用 户 撤销 机 制 的 改进 


基于 DDHC 的 时 限 用 户 撤销 机 制 能 够 满足 定义 4. 3. 6 所 给 出 的 前 向 /后 向 隐私 性 。 然 


#45 BAe 


而 ,协议 还 不 能 完全 抵御 组 用 户 节点 之 间 在 某 些 情形 下 的 同谋 攻击 。 事 实 上 ,组 密 钥 管理 协 
议 不 仅 要 防止 某 个 节点 破解 系统 ,还 要 防止 某 几 个 节点 联合 起 来 破解 。 即 协议 应 具备 良好 
的 防 同谋 破解 ,以 期 杜绝 同谋 破解 或 尽量 降低 同谋 破解 的 概率 。 


4561 单 向 哈 希 二 叉 树 


为 了 改善 协议 的 计算 效率 (减少 喻 希 运 算 次 数 ) ,我 们 可 以 将 前 述 的 限时 组 用 户 撤销 机 
制 中 的 双向 喻 希 链 DDHC 替换 为 单 向 喻 希 二 又 树 (hash binary tree, HBT). WAHRE 
Mt HBT 来 产生 组 密 钥 更 新 消息 的 RK 序列 ,序列 中 每 个 组 密 钥 更 新 消息 分 别 与 不 同 的 
时 间 段 相对 应 。 所 有 的 组 密 钥 更 新 消息 RK 与 该 哈 希 二 叉 树 中 的 叶子 节点 相关 联 , 由 同一 
种 子 值 经 过 哈 希 运算 产生 。 

图 4.5.2 所 示 的 单 向 哈 希 二 叉 树 HBT 所 产生 的 哈 希 序列 能 够 满足 最 大 会 话 次 数 为 24 
的 组 通信 ,其 根 种 子 值 为 SC0,0) , 树 的 深度 为 d=3。 算 法 4.5. 1 则 描述 了 单 向 喻 希 二 叉 树 
的 构造 方法 , 值 S(i,j) 中 的 i 表示 喻 希 种 子 在 喻 希 二 又 树 中 的 深度 ,; 则 表示 种 子 在 该 层 中 
的 横向 编号 。 


图 4.5.2 单 向 哈 希 二 叉 树 (d 一 3) 


算法 4.5.1 哈 希 二 叉 树 的 生成 算法 


01; Function Generate_Hash_Binary_Tree(d) { 

02: — h—0;k—0;/* 险 希 种 子 值 集合 Seed 的 初始 化 * / 
03; 产生 哈 希 树 的 根 种 子 S(0,0); 

04: while (h<d) { 


05; for (k=0;k<2"—1sk+ +) {/ * 生成 左右 两 个 孩子 对 应 的 哈 希 种 子 值 / 

06: S(h 十 1,2k) 二 HH(LeftShift(S(h,k)));/* 生成 SG. ZE ECT fh AFA  / 

07: S(h+1,2k+1)= H(RightShift(S(h.k)));/ * ÆR SG.) HEF WF MB * / 
08: } 


09: h=h+1; 
10; } 


(92:5. 网 络 安全 控制 机 制 


算法 4. 5. 1 首先 要 根据 组 通信 的 最 大 会 话 次 数 m 来 确定 哈 希 二 又 树 的 深度 。 为 方便 
描述 ,我 们 假定 组 通信 的 最 大 会 话 次 数 为 m — 27 ,与 之 对 应 的 哈 希 二 叉 树 深度 则 为 4。 随 
后 ,GC 利用 喻 希 树 的 根 种 子 SC0,0) 依 次 生成 左右 两 个 孩子 对 应 的 种 子 : 左 移 种 子 SG, j) 
一 位 ,然后 进行 哈 希 运算 得 到 左边 孩子 对 应 的 种 子 SG 1.2; — HCLeftShift SG ;0)) ifi 
移 种 子 S(i,j) 一 位 ,然后 进行 喻 希 运算 , 便 可 得 到 右边 孩子 对 应 的 种 子 SG 十 1,27 十 1) 一 
(RightShift(S(i,j)))。 重 复 如 上 步骤 ,直到 树 的 深度 达到 d 即 可 生成 哈 希 二 叉 树 。 最 后 ， 
叶子 节点 SCd,0) 将 对 应 于 会 话 1 的 组 密 钥 更 新 消息 RK ,SCd,1) 将 对 应 于 会 话 2 的 组 密 
钥 更 新 消息 RK,,…,S(d,2" 一 1) 将 对 应 于 会 话 m= 2" 的 组 密 钥 更 新 消息 RK。。 


4562 哈 希 二 叉 树种 子 值 的 预 分 发 


当 一 个 组 用 户 U 在 会 话 j 加 入 到 一 个 活动 组 时 ,GC 将 对 该 用 户 进行 初始 化 , 它 根据 
HP U 的 活动 周期 [j,j:] 分 配 喻 希 二 叉 树 HBT 上 对 应 的 哈 希 种 子 值 给 该 用 户 。 算 
法 4.5. 2 描述 了 如 何 根据 组 用 户 U; 的 活动 周期 [ji ,jz] 来 产生 和 哈 希 树 对 应 的 组 密 钥 更 新 
种 子 值 。 


算法 4.5.2 计算 哈 希 二 叉 树 的 种 子 值 


01: Function Generate HBT Seed Value for User(ji »j2){ 

02; laa = Ji — liraia 72 li 

03; L— lag /25r— rai /2.h—d; 

04; Seed= (SC Lais) SCh rag) 5/ * 哈 希 种 子 值 集合 Seed 的 初始 化 * / 
05: while (/—7)1 


06: if (SCh Lai). AH CeftShift(SCh— 1.0000 / * 处 理 左 子 树 * / 

07: Seed — SeedU (SCA — 1412-19) :/ * SCh laa) J& SCA — 1, DIM ECT MS / 
08: else Seed=Seed\{ S(h Lai) ) s 

09: 证 (SC rai? AH CRightShift(SCh—14r))))/ * 处 理 右 子 树 * / 

10: Seed=SeedU {SChsr—1)}3/ * SCi raa) J& S(h 一 1,7) 的 左 孩 子 节点 */ 
11: else Seed — SeedV SCh c rasia) } + 

12: laia Flo r—raaas 

13; 1=1/2, r=r/2; 

14; h=h-1; 

15; } 

16: return Seed; 

177 } 


直观 上 来 看 ,对 活动 周期 为 [ji ,j;j] 的 用 户 U; 而 言 ,会 话 ja 对 应 的 组 密 钥 更 新 消息 和 
HBT 树 的 叶子 节点 S(d,j1 一 1) 相 关联 ;会 话 jo 所 对 应 的 组 密 钥 更 新 消息 和 HBT 树 的 叶 
子 节点 S(d ,js 一 1) 相 关联 。 算 法 4.5.2 的 主要 策略 是 GC dnas SUR. HBT 树 上 的 如 下 
哈 希 值 (有 必要 进一步 消除 宛 余 的 哈 希 种 子 值 ) 通 过 安全 的 信道 预先 分 发 给 组 用 户 U;: 四 叶 
子 节点 S(d, 记 一 1) 和 S(d,js 一 1) 所 对 应 的 哈 希 值 ; @ 从 叶子 节点 S(d, 记 1 一 1) 到 根 节点 的 
路 径 上 的 所 有 节点 的 右 兄弟 节点 (节点 SC1,1) 除 外 ) 的 哈 希 值 ; 四 从 叶子 节点 SCd ,js 一 1) 
到 根 节点 的 路 径 上 的 所 有 节点 的 左 兄弟 节点 (节点 S(1,0) 除 外 ) 的 哈 希 值 。 算 法 4. 5. 2 中 
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的 第 06 一 第 11 行 包 含 了 这 种 宛 余 处 理 机 制 , 这 样 可 以 进一步 减少 节点 存储 的 哈 希 种 子 值 。 

显然 ,HBT 树 的 单 向 性 使 得 活动 周期 为 Li ,jz] 的 组 用 户 只 能 同时 访问 在 户 和 过) 过 疡 范 
围 内 的 组 密 钥 更 新 值 {RK; | jj. <j jo} ;而 无 法 访问 在 范围 [1 , 户 一 1] 和 [十 1,z] 之 间 的 组 
密 钥 更 新 值 : (RK; |1<j<j,—1}#(RK;|j2+1<j<m}. 

例如 ,对 于 图 4. 5. 2 中 的 哈 希 二 叉 树 而 言 , 若 用 户 的 活动 周期 是 (2,5), 则 GC 将 哈 希 二 
MB} HBT 上 的 哈 希 种 子 值 {S(3,1),S(2,1),S(3,4)} 通 过 安全 的 通道 分 发 给 该 用 户 。 种 子 
值 {S(3,2),S(3,3)} 没 有 必要 直接 分 发 给 用 户 , 因 为 用 户 可 以 利用 种 子 值 SC2,1) ,通过 哈 
希 运算 获得 种 子 值 {S(3,2),S(3,3))。 因 此 ,基于 HBT 的 组 用 户 撤销 机 制 可 以 在 存储 和 计 
算 效 率 之 间 取 得 一 种 平衡 。 

与 基于 HHDC 的 S-SGKDS-TL 协议 不 同 , 在 基于 HBT 树 的 SGKDS-TL 协议 中 ,第 j 
次 会 话 的 组 通信 密 钥 被 定义 为 )，SCd j) RK; 的 函数 : 

TEK; = f(S(d.j).RK;) (4.5.14) 

JEP ISSM; Sd, DEMAR j 对 应 ABT 树叶 子 节点 的 种 子 值 ;RK; 来 源 于 GC 的 第 j 
次 组 密 钥 更 新 消息 ,其 更 新 处 理 机 制 与 前 述 S-GKDS-TL 相似 。 


4563 基于 HBT 树 的 安全 性 分 析 


总 体 而 言 ,基于 HBT 的 组 密 钥 分 发 协议 具有 比 基 于 DDHC 的 组 密 钥 分 发 协议 更 强 的 
安全 特性 。 

定理 4.5.3 基于 ABT 的 SGKDS-TL 协议 具有 良好 的 抗 同 谋 破解 性 。 假 定 BS 
R,UR,_1U…UR, HEZK r 前 撤销 的 组 用 户 集 ,FSJ,UJ,riU…UJ 为 在 会 话 s 后 加 
入 组 通信 的 组 用 户 集 , 则 BUF 中 的 任何 组 用 户 子 集 的 密谋 均 无 法 获得 组 通信 和 密 钥 KK;(r 三 
is). 

证 明 : 考虑 任意 用 户 子 集 B,CC{U U2 UU.) rp BCR, UR, Us UR 为 在 会 
d r MRAP, FEJ, UJ a Ue UJn 为 在 会 话 * 后 加 入 组 通信 的 用 户 集 。 下 面 我 们 
证 明 BU F 中 的 任何 用 户 之 间 的 密谋 均 无 法 获得 组 通信 密 钥 K ; rs). 

不 妨 设 集合 中 的 任 一 用 户 UP © (UP ,U8 UP) 的 活动 周期 是 LLP HP ,其 中 1 和 
LP-H?.H?-r, T44, B 中 所 有 用 户 的 最 大 可 能 活动 区 间 为 CHS,, Hox |) HEP Hiin A 
5 分 别 为 


HÀ, = max( HP, HP ,---, Hfg) (4.5.15) 
LÀ, = min(L? L2 +++ Lfsi) (4. 5. 16) 
同样 ,对 用 户 集 下 中 的 任 一 用 户 UF € (UE US «Ufa ) ,不 妨 设 其 活动 周期 是 [LF ， 
HF] HP ;二 Lf 二 Hf ,Hf 信 m。 相 应 地 ,集合 下 中 所 有 用 户 的 最 大 可 能 活动 区 间 是 [Hs - 
Hia d ,其 中 Hz HS 分 别 为 
HE, = max{ HF ,HF s+, Hfr,} (4.5.17) 
LL, = min{Lf LE ,--- Lf} (4. 5. 18) 
TR. MAH UF EB A UF EF 的 活动 周期 均 分 别 落 在 区 间 [ HS8;,, H3,] 和 [HS,， 
Hix lA. IESIHP UP? EB 是 在 会 话 前 被 撤销 的 用 户 , 而 用 户 UF € F 是 在 会 话 s 后 加 
人 组 通信 的 用 户 , 故 活动 区 间 [H3;,, H5, ACH Ein o HE, JAR HERE: [HESS H3, 人 [HS;,， 
旦 i] 二 多 ,并 且 有 如 下 不 等 式 成 立 : 
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ISi Hue «r« ssh Hh. (4. 5. 19) 

因此 ,车 Seeds 和 Seedr 分 别 表示 集合 B AF 中 所 有 用 户 被 预先 分 发 的 哈 希 种 子 值 

集 , 则 有 Seeds 站 Seedr 王 已 。 即 所 有 用 户 UPEB 在 HBT 树 上 对 应 叶子 节点 的 哈 希 种 子 值 

所 组 成 的 种 子 集合 Seeds ,与 所 有 用 户 U? EF 在 HBT 树 上 对 应 叶子 节点 的 喻 希 种 子 值 所 

组 成 的 种 子 集合 Seed, 的 交集 为 空 。 另 外 ,由 于 Hia S rís S Lin UB Sdr), Sdr + 

1),**,S(d,s)} C Seeds U Seedr。 

因此 ,根据 喻 希 二 叉 树 的 构造 算法 4. 5. 1 和 算法 4.5.2, 以 及 喻 希 树 的 单 向 性 ,我 们 可 

以 得 出 如 下 结论 : BUF 中 的 任何 用 户 之 间 的 密谋 均 无 法 获得 区 间 [x,s] 之 内 的 喻 希 种 子 值 
{Sds j) | rss) ,进而 无 法 获得 该 区 间 内 的 组 密 钥 {K) | js) , 即 有 : 

HG, Ka Ko | Bio +By + {S:}u,en+(Si}u,en) = HOC Ka Ka) 
(4. 5. 20) 


在 Ds si (U,t,m) 模 型 中 引入 如 上 性 质 , 则 我 们 可 以 定义 一 个 能 够 抵御 组 用 户 同谋 破解 
的 组 密 钥 分 发 协议 模型 Dir QU ,t,m)。 

定义 4.5.2 假定 U= (Ui ,Us,…,U,) 是 所 有 可 能 的 组 通信 用 户 的 集合 ,m 是 组 通信 系 
统 的 最 大 会 话 次 数 ,: 是 GC 所 能 主动 撤销 的 最 大 用 户 数 , 则 Das CU ,1t,m) 是 一 个 改善 的 自 


愈 组 密 钥 分 发 模型 , 若 如 下 条 件 能 够 满足 : 
CD 对 组 用 户 UEG 而 言 , 组 密 钥 K; 完全 可 由 B; 及 其 私 钥 S; 决定 , 即 
H(K; | Bj.S) 一 0 (4,5. 21) 
(2) 对 任何 用 户 子 集 BEU, |B| EA B 中 的 用 户 不 可 能 获得 用 户 Ui € BP A 
钥 Se, 即 
H(K; +S: | Bj.Bja Bi (S: }u,en) = H(K; So) (4. 5. 22) 
(3) 不 可 能 单独 地 从 GC 广播 的 密 钥 更 新 信息 或 组 用 户 私 钥 获 得 组 密 钥 , 即 
H(K, „K: Kn | Bi ,B;,,B,) = H(K, „K: K,) (4. 5. 23) 
H(K, .K; K, | S,.S;, 7,8) = H(OG Ki 7 K,) (4. 5. 24) 


(4) Dsm(U,t,m) 能 够 同时 安全 撤销 最 多 1 个 用 户 的 能 力 : 设 每 次 会 话 j 被 撤销 的 组 
FAP 4232 RSR UR- Ue UR, ORIKO. UR 中 的 组 用 户 不 可 能 利用 GC 广播 的 组 密 钥 
更 新 信息 B; 去 恢复 出 当前 的 组 通信 密 钥 K ; , 即 

H(G, | B;.Bja «Bi +{S:}u,cr) = H(K;) (4. 5. 25) 

(5) XHP UEG, aE zi r 收 到 密 钥 更 新 消息 {B,11 二 r=<m) ,但 在 会 话 * 前 一 直 
BOA BR GC sno , 则 该 用 户 能 够 利用 会 话 s ACRI P E HED E {By | Es CET 
H A 2 fi 7 EB RP EN: 

H(K, Km 00K, | B,.B,.S0 一 0 (4. 5. 26) 

(6) (时 限 访问 特性 ?对 活动 周期 为 L[r,s] 的 用 户 U: EG, 而 言 , 其 在 会 话 r 加 入 组 通信 ， 
W U; 仅 能 获得 [,s] 之 间 的 组 密 钥 K Cr Lj a) ;而 无 法 获得 [1,r 一 1] 和 [s 十 1,mj 之 间 的 组 
密 钥 , 即 

HQGG S KasKauss Ks | 了， Ba (Suec? 
—H(G, Ka ,天 K,) (4. 5. 27) 
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(7)( 抗 同谋 破解 性 ) 假 定 BER, UR UUR HESH r 前 撤销 的 用 户 子 集 ,FSJ， 
UJ U-- UJ, 为 在 会 话 y 后 加 入 组 通信 的 用 户 子 集 。 若 |BUF|<t, 则 BUF 中 的 任何 用 
户 子 集 的 密谋 均 无 法 获得 组 通信 密 钥 {K;|r 过 j 过 ;} , 即 

HK, Kei in Kind Bis +B {Si}u eB» (Si)u en) =H CK, Kris Ks) (4.5.28) 

定义 4. 5. 2 的 性 质 (1) 一 性 质 (6) 完 整地 继承 了 定义 4. 5. 1 的 性 质 ;而 定义 4. 5. 2 中 的 性 
质 (7) 则 描述 了 psm(U,z,zo) 是 组 密 钥 分 发 模型 所 应 满足 的 重要 安全 属性 一 一 抗 同谋 破解 性 。 

值得 指出 的 是 ,Dsr QU «t m BEL BUE HE Stadden 和 Liu-Ning 的 自 愈 模型 更 强 的 安全 
性 。 事实 上 ,我 们 消除 了 Stadden 和 Liu-Ning 模型 的 附加 约束 条 件 : 1BUF| 达 1。 这 是 一 
个 重要 的 改进 。 因 此 ,基于 HBT 树 的 SGKDS-TL 协议 在 安全 性 方面 是 优 于 Stadden 的 自 
愈 协议 以 及 Liu-Ning 的 自 愈 协议 的 ,因为 基于 HBT 树 的 SGKDS-TL 具有 更 强 的 抗 同谋 
攻击 特性 。 

定理 4.5.4. 基于 HBT 的 组 密 钥 管 理 协 议 S-GKDS-TL 在 信息 论 范 畴 内 是 无 条 件 安 
全 的 。 

证 明 : 比较 定义 4. 5.2 和 定义 4.5.1 可 知 ,组 密 钥 分 发 模型 Din QU t m0 TEE OD — TE 
质 (6) 完 整地 继承 了 Dsm.(U,t,m) 的 相关 特性 ;因此 ,模型 Dir Usto) WEO) ~HE G) 
的 证 明 可 参见 定理 4. 5. 1; 至 于 性 质 (7) 的 证 明 , 即 证 明基 于 HBT ff) S-GKDS- TL 协议 能 够 满 
FE Dm(U,t,m) 所 定义 的 抗 同谋 破解 特性 ,可 参见 定理 4. 5. 3 的 证 明 , 这 里 从 略 。 
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存储 开销 : 总 体 而 言 , 将 限时 组 用 户 撤 销 机 制 中 的 双向 喻 希 链 DDHC 替换 为 单 向 哈 希 
二 叉 树 HBT, 采 用 的 策略 是 以 存储 换取 计算 效率 。 因 为 在 DDHC 方法 中 ,组 用 户 仅 需 要 存 
储 两 个 种 子 值 : 前 向 哈 希 链 的 种 子 值 KE 和 后 向 哈 希 链 的 种 子 值 K2 。 

为 方便 分 析 ,我 们 假定 组 通信 的 最 大 会 话 次 数 是 m= 二 22。 考 虑 在 基于 哈 希 树 的 组 用 户 撤 
销 方法 中 ,对 活动 周期 为 (j, ,j;) 的 用 户 U, 而 言 ,组 用 户 节点 需要 存储 的 哈 希 种 子 值 的 数目 是 : 

CD 最 好 情况 : 组 用 户 节点 仅 需要 存储 1 个 哈 希 种 子 值 , 此 时 会 话 疡 在 HBT 树 中 所 关 
联 的 叶子 节点 SCd ji DMAH je 在 HBT 树 中 所 关联 的 叶子 节点 S(d,js 一 1) 具 有 共同 
的 祖先 节点 ;而 在 以 该 祖先 节点 为 根 节点 的 子 树 中 ,节点 SC; — D FI SCIL jn — 1) 21 HN FE 
该 子 树 的 最 左 和 最 右 的 叶子 节点 。 

(2) 最 坏 情况 : 05 ji =2.j2=m—1 时 ,组 用 户 需 要 存储 2 + flogm 2 个 哈 希 种 子 值 。 

(3) 在 一 般 情 况 下 ,组 用 户 需要 存储 的 哈 希 种 子 值 数 目 则 介 于 1 和 2 [logm1-2 之 间 。 

基于 哈 希 二 又 树 的 限时 用 户 撤销 机 制 还 有 另外 一 个 显著 的 优点 。 组 用 户 可 以 申请 在 多 
个 互 不 重 友 的 时 间 段 访问 组 密 钥 ,例如 [ii ja VA jg sja ] 3X E GC 仅 需要 根据 算法 4. 5. 2 
把 相应 的 哈 希 种 子 值 预先 分 发 给 该 用 户 即 可 ;而 基于 DDHC 的 方法 则 存在 一 定 的 局 限 性 ， 
它 仅 提 供 了 用 户 访问 一 个 特定 时 间 段 的 机 制 。 这 种 特性 极 大 地 增强 了 GC 对 组 用 户 访问 控 
制 的 灵活 性 。 

计算 开销 : 总 体 而 言 ,HBT 方法 比 DDHC 方法 应 该 有 更 高 的 计算 效率 。 在 HBT 方法 
中 ,用 户 节点 获得 组 密 钥 更 新 消息 所 需要 的 最 大 哈 希 计算 次 数 是 [logm ], 因 为 哈 希 树 的 最 大 
深度 是 [logm 习 最 小 计算 次 数 是 1. 

而 DDHC 方法 的 最 大 哈 希 计算 次 数 是 20m 一 1) 次 ,最 小 计算 次 数 也 是 2。 平 均 计 算 次 
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数 可 以 分 析 如 下 : 

不 失 一 般 性 ,我 们 考察 活动 周期 为 (j, ,j;) 的 用 户 U;。 根 据 双向 哈 希 链 DDHC 的 构造 
可 知 ,U; 能 够 使 用 预先 分 发 的 哈 希 种 子 值 { Hi KE), H” (KE) RIHI KE ja SJ < 
my H” CK8) |1<j<jo}. BIS AAP ET ALLS .j;] 之 间 的 双向 哈 希 值 所 用 的 哈 希 运算 
WON 20, j t+ DM, 

车 组 用 户 的 活动 周期 在 [1,m] 范 围 内 均匀 分 布 , 则 DDHC 方法 中 哈 希 运算 次 数 的 期 望 


值 为 
ECC.) = LO42 +4464" +20m—1) —m-—1 (4. 5. 29) 
因此 , 若 以 哈 希 计算 次 数 作为 协议 的 计算 复杂 度 的 衡量 标准 , 则 DDHC 方法 的 平均 计 
算 复 杂 度 是 OC) 。 
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在 前 面 3 节 ,我 们 的 研究 更 多 地 限于 协议 本 身 的 安全 性 和 性 能 方面 ,没有 讨论 SGKDS 
和 S-GKDS-TL 协议 的 具体 应 用 。 

无 线 通信 技术 的 飞速 发 展 , 使 无 线 网 络 成 为 当前 研究 的 一 个 热点 问题 。 无 线 网 络 具有 
与 生 俱 来 的 广播 通信 特性 ,所 以 安全 组 通信 的 研究 可 以 应 用 在 无 线 网 络 环境 。 但 无 线 网 络 
环境 下 的 安全 组 通信 密 钥 管理 的 研究 要 考虑 到 无 线 网 络 较 有 线 网 络 所 具有 的 不 同 特点 。 无 
线 网 络 相对 于 有 线 网 络 ,其 主要 不 同 点 是 : 网 络 带 宽 、 网 络 传输 介质 的 可 靠 性 。 因 此 ,无 线 
环境 下 的 安全 组 密 钥 管理 的 研究 应 注意 考虑 提高 可 靠 性 和 降低 网 络 带 宽 开 销 。 此 外 ,移动 
网 络 组 用 户 节点 的 移动 特性 (mobility) 增 加 了 组 密 钥 管理 机 制 研 究 的 难度 。 具 有 良好 适应 
性 的 移动 组 通信 中 的 密 钥 管理 方式 应 该 能 在 不 干扰 网 络 无 颖 连接 特性 的 情况 下 ,可 以 在 网 
络 间 移 动 , 同 时 不 会 离开 安全 通信 组 。 当 用 户 从 一 个 网 络 移动 到 另 一 个 网 络 时 ,网 络 的 可 信 
任性 和 移动 用 户 的 切 分 (handoff) 服 务 是 安全 组 通信 要 考虑 的 关键 问题 。 

下 面 结 合 具体 网 络 应 用 环境 的 特点 ,如 无 线 网 络 .移动 网 络 (NEMO 网 ) 和 无 线 传 感 器 
网 络 ,着 重 探讨 S-GKDS 协议 和 S-GKDS-TL 协议 在 这 些 具体 网 络 环境 中 的 可 能 应 用 。 


4.6.1 无 线 传感器 网 络 


无 线 传感器 网 络 (wireless sensor networks, WSN)U!779 E h — 28 f£ Je 28 5 jh ili E 76 ZR 
介质 连接 构成 的 无 线 网 络 , 它 采用 自 组 织 方式 配置 大 量 微型 的 智能 传 感 节点 ,通过 节点 的 协 
同 工 作 来 采集 和 处 理 网 络 覆 盖 区 域 中 的 目标 信息 。 无 线 传 感 器 网 络 在 环境 与 军事 监控 ,地 
震 与 气候 预测 ,地 下 ` 深 水 以 及 外 层 空 间 探 索 等 许多 方面 都 具有 广泛 的 应 用 前 景 。 可 以 说 无 
线 传感器 网 络 是 信息 感知 和 采集 的 一 场 革命 ,是 21 世纪 最 重要 的 技术 之 一 。 

无 线 传感器 网 络 体系 结构 由 3 个 主要 部 分 组 成 : 传 感 节 点 、 聚 类 首领 (group head, 
GH) 节 点 和 终端 (sink) 节 点 。 传 感 节点 散布 在 观察 区 域内 采集 与 观察 对 象 相关 的 数据 ,并 
将 协同 处 理 后 的 数据 传送 到 sink 节点 。 而 后 sink 节点 可 以 通过 Internet 或 通信 卫星 实现 
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传感器 网 络 与 任务 管理 节点 通信 。 如 果 网 络 规模 太 大 ,可 以 采用 聚 类 分 层 的 管理 模式 。 

相对 于 有 线 网 络 ,无 线 传感器 网 络 的 这 种 开放 式 体系 结构 ,使 得 它 更 易于 受到 各 种 不 安 
全 因素 的 威胁 "~" 。 我 们 可 以 知道 无 线 传感器 网 络 的 组 通信 协议 设计 应 该 考虑 到 如 下 的 
性 能 标准 : 

(1) 能 源 有 效 性 /生命 周期 : 能 源 有 效 性 是 无 线 传感器 网 络 设计 中 要 考虑 的 重要 因素 。 
尽 可 能 降低 节点 的 能 源 消耗 ,从 而 延长 网 络 生 命 周 期 ,是 无 线 传感器 网 络 中 有 关 协 议 设计 的 
重要 目标 。 

(2) 可 靠 性 /容错 性 : 传 感 节点 容易 因为 能 源 耗 尽 或 环境 干扰 而 失效 。 部 分 传 感 节点 
的 失效 不 应 影响 整个 网 络 的 任务 。 

(3) 可 扩展 性 : 在 一 些 应 用 中 可 能 需要 成 百 上 千 个 传 感 节点 ,组 密 钥 分 发 协议 的 设计 
应 能 满足 大 量 节点 协作 。 

(4) 时 延性 : 传感器 网 络 的 延迟 时 间 是 指 观察 者 发 出 请 求 到 收 到 应 等 信息 所 需 时 
间 553 。 因 此 ,协议 的 设计 不 但 应 该 尽 可 能 地 减少 时 延 , 而 且 要 能 容忍 传 感 节点 之 间 的 时 钟 
在 一 定 程度 上 的 扭曲 。 

S-GKDS 协议 和 S-GKDS-TL 协议 能 为 大 规模 的 传感器 网 络 提供 一 种 安全 的 组 通信 方 
式 。 为 方便 管理 ,可 以 将 整个 网 络 分 成 多 个 簇 (cluster) ,每 个 簇 包 含 一 个 聚 类 首领 节点 。 
GH 在 此 充当 组 通信 控制 中 心 GC, 而 各 个 簇 内 的 传感器 节点 则 充当 组 用 户 节点 。 根 据 前 述 
协议 的 有 关 特 性 可 知 ,S-GKDS 和 S-GKDS-TL 协议 能 够 完成 如 下 基本 安全 目标 : 

CD 机 密 性 (confidentiality) : 防止 通信 数据 被 窃听 ,确保 攻击 者 不 能 获得 任何 关于 明 
文 的 信息 。 

(2) 数据 完整 性 Cintegrity): 防止 通信 数据 被 筑 改 。 

(3) 访问 控制 (confidentiality) : 确保 只 有 合法 的 用 户 才能 访问 网 络 。 

(4) 组 密 钥 的 更 新 和 撤销 (revocability) : 保护 网 络 以 避免 遭受 入 侵 节 点 的 危害 。 

其 中 ,安全 目标 (4) 的 实现 还 依赖 于 入 侵 检测 系统 的 合作 。 该 主题 超出 了 本 节 的 研究 范 
目 , 在 此 ,我 们 不 再 详细 讨论 。 唯 一 需要 知道 的 是 ,设置 在 传感器 网 络 中 的 入 侵 检 测 系统 一 
旦 检测 到 某 个 节点 已 经 被 非法 入 侵 , 则 传感器 网 络 的 任务 管理 节点 必须 通过 某 种 安全 机 制 
通知 该 节点 所 在 簇 的 聚 类 首领 GH 节点 ,并 通过 GH 的 组 密 钥 广 播 更 新 消息 撤销 该 节点 ， 
最 终 完 成 组 密 钥 的 更 新 。 

特别 需要 指出 的 是 ,相对 于 S-GKDS 协议 而 言 ,'S-GKDS-TL 协议 更 适 于 在 无 线 传 感 需 
网 络 中 的 应 用 。 考 虑 到 WSN 的 节点 具有 明确 的 生命 周期 ,对 于 未 受 侵害 的 传感器 节点 ,我 
们 可 以 采用 时 限 的 组 用 户 撤销 机 制 来 管理 。 这 种 隐 式 的 用 户 撤销 方式 使 得 用 户 在 退出 会 话 
时 不 需要 组 管理 中 心 GC( 即 聚 类 首领 GH) 的 直接 介入 ,而 且 对 撤销 用 户 的 总 数 没有 限制 。 
前 者 能 够 显著 减少 节点 和 GH 的 计算 和 通信 负载 ;后 者 则 有 效 地 解决 了 传感器 网 络 中 组 通 
信 协 议 的 可 扩展 性 问题 。 特 别 对 一 些 可 能 需要 成 百 上 千 个 传 感 节点 的 大 规模 应 用 ,该 特性 
尤 显 重要 。 另 一 方面 ,S-GKDS-TL 协议 的 显 式 用 户 撤销 机 制 能 够 有 效 地 避免 无 线 传感器 
网 络 被 已 遭受 入 侵 的 节点 所 危害 。 一 旦 发 现 某 个 组 用 户 已 受到 入侵 ,该 用 户 节点 所 在 簇 的 
聚 类 首领 GH 即 可 通过 组 密 钥 广 播 更 新 消息 来 撤销 该 用 户 , 以 确保 只 有 合法 的 组 节点 才能 
访问 网 络 。 

当 需 要 增加 某 簇 中 的 传 感 节 点 数量 时 .S-GKDS 和 S-GKDS-TL 协议 都 能 提供 一 种 简 


m 
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洁 的 组 节点 参与 机 制 。 而 且 , 无 论 是 显 式 用户 撤 销 ,还 是 隐 式 用 户 撤销 机 制 ,都 是 轻 量 级 的 
运算 ,其 仅 需要 用 户 节点 做 哈 希 运算 。 

因此 ,S-GKDS-TL 协议 优良 的 动态 性 能 ,能 为 传感器 网 络 中 用 户 节点 参与 或 退出 会 话 
的 组 通信 提供 良好 的 自 适应 性 。 时 限 用 户 撤销 机 制 的 引入 使 得 SGKDS-TL 协议 提供 了 两 
种 高 效 的 组 用 户 撤 销 管理 机 制 : 其 一 是 通过 组 密 钥 广播 更 新 消息 实现 的 显 式 用 户 撤销 ;其 
二 是 通过 时 限 用 户 撤销 机 制 实现 的 隐 式 用 户 撤销 。 这 两 种 用 户 撤销 机 制 为 SGKDS-TL Hy 
议 提 供 了 一 种 灵活 而 高 效 的 组 用 户 动态 管理 机 制 ,使 得 该 协议 能 够 很 好 地 适应 传感器 网 络 
中 节点 拓扑 结构 频繁 变化 的 组 通信 应 用 。 


4.6.2 NEMO 组 通信 


相对 于 传统 的 无 线 移动 通信 而 言 , 下 一 代 无 线 系统 应 该 提供 给 用 户 更 高 的 宽带 服务 ,并 
且 透 明 地 将 技术 集成 到 系统 环境 中 ,从 而 实现 位 置 无 关 性 。 这 样 就 需要 整合 异 构 网 络 和 协 
议 。 无 线 个 人 网 络 (wireless personal networks, WPN) 是 这 种 异 构 体系 结构 中 不 可 或 缺 的 
一 部 分 。 下 一 代 WPN 需要 全 球 范围 内 的 无 缝 连接 ,用 户 可 以 在 任何 时 间 、 任 何 地 点 使 用 最 
适合 的 接口 接 人 和 人 网络。 作为 WPN 网 络 中 的 重要 组 成 部 分 ,IETF 的 NEMO (network 
mobility) 工 作 组 认为 移动 网 是 一 个 具有 Internet 接 和 人 点 的 独立 单元 ,也 可 以 认为 它 是 一 个 
叶子 网 络 "5 。 不 过 ,无 论 是 使 用 多 个 移动 路 由 器 还 是 使 用 具有 多 个 接口 的 单个 移动 路 由 
器 ,都 有 可 能 是 多 地 址 的 。NEMO 不 仅 要 求 提 供 和 主干 网 络 连接 的 功能 ,而 且 还 需要 具有 
用 户 位 置 注册 和 用 户 位 置 发 现 的 功能 。 因 此 ,未 来 WPN 具备 的 一 个 重要 特征 是 用 户 的 多 
地 址 和 在 多 域 环境 中 的 移动 性 。 移 动用 户 在 不 同 作用 域 之 间 移 动 时 能 够 保持 连接 而 且 连 接 
路 径 是 最 优 的 ,这 将 产生 额外 的 需求 ,如 无 线 资 源 管理 和 最 优 连接 线路 切换 。 

传统 的 移动 IP 所 提供 的 漫游 机 制 , 仅 局 限于 主机 (host) 漫 游 的 无 线 移动 网 络 。 当 主机 
扩展 成 网 络 时 , 即 为 具有 移动 网 络 NEMO 特性 的 网 络 。 例 如 ,在 公交 设施 上 设置 一 台 移动 
路 由 器 (mobile router) ,此 路 由 器 通过 上 行 接口 对 外 连接 Internet 网 ;对 内 通过 无 线 局 域 网 
向 移动 用 户 提供 接 人 服务 。 当 公共 交通 设施 移动 漫游 时 ,其 内 的 所 有 移动 用 户 将 被 视 为 一 
个 移动 子 网 。 此 时 ,移动 用 户 设备 并 不 需要 单独 执行 漫游 和 无 线 切 分 (handoff) 服 务 , 取 而 
代 之 的 是 通过 移动 路 由 器 执行 漫游 与 切 分 服务 来 保持 网 络 整 体 的 畅通 。IETF 工作 小 组 所 
定义 的 NEMO 体系 结构 如 图 4. 6. 1 所 示 。 

NEMO 网 络 是 由 一 个 或 多 个 IP 子 网 所 构成 ,以 移动 网 络 (mobile network) 当 作 一 个 漫 
游 或 者 切 分 (hand off) 服 务 单位 ,并 通过 移动 路 由 器 连接 至 Internet 网 络 。 在 图 4. 6.2 中 ， 
移动 网 络 通过 移动 路 由 器 连接 至 家 乡 网 络 (home link) ,并 在 移动 网 内 部 连接 移动 子 网 节点 
(mobile network node, 简 称 MNN)。 当 移动 子 网 节点 MNN 漫游 到 另 一 个 移动 网 时 , 它 通 
过 移动 路 由 器 接 人 他 乡 网 络 (foreign link) ,最 终 通过 Internet 接 人 路 由 器 来 完成 漫游 和 切 
分 服务 的 平滑 迁移 。 

移动 子 网 节点 MNN 可 分 为 3 类: 本 地 固定 节点 (local fixed node,LFN)、 本 地 移动 节 
点 (local mobile node,LMN) 及 访问 移动 节点 (visiting mobile node, VMN). 

(1) 本 地 固定 节点 (LFN): 为 固定 的 主机 或 路 由 器 节点 ,在 此 移动 网 络 环境 中 ,不 会 改 
变 与 移动 路 由 器 的 连接 方式 。 
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图 4.6.1 IETF NEMO 工作 组 定义 的 体系 结构 
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图 4.6.2 NEMO 环境 下 的 组 通信 模型 


(2) 本 地 移动 节点 (LMN): 为 移动 的 主机 或 路 由 器 节点 ,在 此 移动 网 络 环境 中 ,节点 可 
以 自由 地 移动 或 漫游 至 其 他 子 网 ,但 不 会 跨越 出 此 移动 路 由 器 所 连接 的 子 网 络 范围 之 外 。 

(3) 访问 移动 节点 (VMN) : 为 移动 的 主机 或 路 由 器 节点 , 它 可 以 自由 地 移动 或 漫游 至 
其 他 子 网 , 亦 可 移动 或 漫游 跨越 至 其 他 移动 路 由 器 所 在 的 移动 网 络 中 。 

图 4.6. 2 还 解释 了 本 地 移动 节点 (LMN) 和 访问 移动 节点 (VMN) 的 漫游 机 制 : 访问 移 
动 节点 VMN B 从 家 乡 网 络 漫游 到 他 乡 网 络 ,以 及 本 地 移动 节点 LNN A 在 同一 移动 网 络 中 
从 其 中 一 个 子 网 漫游 到 另 一 个 子 网 。 

随 着 无 线 网 络 速度 的 提高 , 现 有 的 技术 包含 IEEE 802. 11b 和 802. 11g 等 无 线 局 域 网 
CWLAN) ,最 大 速度 皆 可 达到 11Mbps 以 上 ,可 满足 一 般 的 媒体 视频 带宽 要 求 。 因 此 ,将 无 
2 WLAN 协议 IEEE 802. 11b/g 和 IPv6 相 结 合 , 进 行 NEMO 环境 下 安全 组 通信 的 研究 ， 
提供 以 IPv6 网 络 为 基础 的 无 线 宽 带 网 络 环境 下 的 普 适 计算 服务 ,具有 一 定 的 现实 意义 。 

结合 组 密 钥 分 发 协议 和 NEMO 的 通信 机 制 ,我 们 考察 如 下 应 用 ,如 图 4. 6.2 所 示 ， 
NEMO 组 通信 会 话 涉及 到 GC 和 组 成 员 。 在 此 ,GC 是 一 个 移动 的 组 密 钥 管理 中 心 ,全 权 
负责 组 通信 密 钥 的 创建 、 分 发 和 组 成 员 关 系 发 生变 化 时 的 密 钥 更 新 。 而 组 成 员 则 包含 两 
种 类 型 的 用 户 : 孤立 的 组 成 员 , 例 如 ,如 图 4. 6.2 中 的 节点 A MC; 四 处 于 NEMO 网 
络 中 的 分 支 节点 ,如 图 中 的 节点 B,D 和 下 。 所 有 成 员 节点 以 有 线 或 无 线 的 方式 接 人 


网 络 安全 控制 机 制 


Internet 网 。 

在 组 通信 过 程 中 ,GC 和 节点 之 间 存 在 着 多 种 控制 信息 (如 图 4. 4. 2 所 示 ); 用 户 节点 的 
处 理 流程 则 按 图 4.4.2 进行 。 即 在 用 户 节 点 上 布置 有 消息 验证 和 检查 模块 .组 密 钥 更 新 消 
JA RK 的 自 愈 模块 .组 密 钥 TEK 切换 模块 以 及 流 加 密 /解密 和 完整 性 检查 模块 。 


4.6.3 进一步 的 研究 工作 


S-GKDS 和 S-GKDS-TL 协议 是 针对 不 可 靠 、 易 受 攻击 、 开 放 的 组 通信 环境 而 提出 的 组 
密 钥 分 发 协议 。 有 关 性 能 和 安全 性 分 析 表 明 ,S-GKDS 和 S-GKDS-TL 协议 能 够 为 无 线 传 
感 器 网 络 和 NEMO 这 种 异 构 网 络 环境 下 的 组 通信 提供 一 种 简洁 而 有 效 的 组 通信 机 制 ,其 
理由 如 下 : 

(1) S-GKDS 和 SGKDS-TL 协议 的 组 密 钥 广播 更 新 机 制 使 得 在 协议 的 交互 过 程 中 不 
再 需要 对 丢失 的 消息 进行 重 传 或 对 接收 的 消息 状态 进行 确认 (ACKs) ;这样 能 够 有 效 地 减 
少 GC 和 组 用 户 节点 之 间 的 通信 开销 。 

(2) S-GKDS 和 S-GKDS-TL 协议 能 够 有 效 地 发 现 和 恢复 丢失 的 组 密 钥 更 新 消息 ;这 种 
组 密 钥 的 自 愈 机 制 使 得 协议 能 够 容忍 较 高 的 信道 丢 包 率 和 在 一 定 程度 上 抵御 DoS 攻击 。 
因此 ,S-GKDS 和 S-GKDS-TL 协议 能 够 很 好 地 适应 无 线 传感器 网 络 和 NEMO 移动 网 络 这 
种 开放 、 易 受 攻击 、 不 可 靠 的 无 线 通信 环境 。 

(3) 组 更 新 消息 中 隐 含 的 包 验 证 机 制 有 效 避 免 了 消息 认证 码 (MAC) 的 构造 和 验证 ,这 
样 能 够 有 效 地 减少 额外 的 计算 和 通信 开销 。 

(4) S-GKDS 和 S-GKDS-TL 协议 的 组 密 钥 的 平滑 更 新 机 制 使 得 在 组 密 钥 的 切换 过 程 
中 无 需 干 扰 正在 进行 的 数据 传输 。 

(5) S-GKDS fl S-GKDS-TL 协议 具有 良好 的 可 扩展 性 ,能 够 适应 较 大 规模 的 用 户 频 繁 
地 参与 或 退出 会 话 的 组 通信 环境 ;组 密 钥 更 新 消息 包 的 大 小 不 受 会 话 过 程 中 被 撤销 的 组 用 
户 数目 的 影响 。 

(6) S-GKDS 和 S-GKDS-TL 协议 并 不 要 求 组 通信 中 各 组 件 ( 用 户 节 点 和 GC) 之 间 的 
时 钟 完 全 精确 同步 , 它 能 在 一 定 程度 上 容忍 时 钟 的 不 同步 。 这 使 得 协议 对 NEMO 这 种 时 
延 较 大 的 通信 环境 具有 良好 的 自 适应 性 :同样 地 ,协议 对 于 无 线 传感器 网 络 这 种 分 布 式 、 缺 
乏 网 络 时 间 同 步 机制 的 自治 系统 而 言 ,也 具有 非常 好 的 适应 性 。 

(7) S-GKDS 和 S-GKDS-TL 协议 在 信息 论 范畴 内 是 无 条 件 安全 的 , 它 能 够 有 效 地 保证 
组 密 钥 的 前 向 /后 向 隐私 性 ;S-GKDS-TL 协议 能 够 更 有 效 地 保证 组 密 钥 的 抗 同谋 破解 和 组 
机 密 性 。 

值得 一 提 的 是 ,与 SGKDS 协议 相 比 ,S-GKDS-TL 协议 能 够 更 好 地 适应 无 线 传感器 网 
络 和 NEMO 移动 网 络 环境 下 的 组 通信 。 因 为 ,从 S-GKDS-TL 协议 的 构造 机 制 来 看 ,该 协 
议 是 对 S-GKDS 协议 的 扩展 , 它 完整 地 继承 了 S-GKDS 协议 的 所 有 基本 特性 ,如 自 愈 性 、 安 
全 性 、 自 适应 性 和 高 性 能 。 并 且 , 它 在 S-GKDS 协议 的 基础 上 ,引入 了 一 种 基于 时 限 的 组 用 
户 撤销 机 制 。 这 种 轻 量 级 的 时 限 用 户 撤销 机 制 并 没有 给 S-GKDS-TL 协议 本 身 带 来 显著 的 
计算 和 通信 负载。 因此 ,S-GKDS-TL 协议 具有 更 优 的 可 扩展 性 和 动态 性 能 ,能 为 组 用 户 频 
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繁 参与 或 退出 会 话 的 组 通信 提供 更 好 的 自 适应 性 。 因 为 时 限 用 户 撤销 机 制 使 得 组 用 户 能 以 
一 种 隐 式 方式 退出 组 会 话 ,这 种 机 制 具有 如 下 特点 : 用 户 的 退出 并 不 需要 组 管理 中 心 的 
直接 介入 ; 四 协议 对 撤销 用 户 的 总 数 没有 限制 。 

S-GKDS-TL 协议 提供 了 两 种 高 效 的 组 用 户 管理 机 制 : 其 一 是 通过 组 密 钥 广播 更 新 消 

息 实 现 的 显 式 用 户 撤销 ;其 二 是 通过 时 限 用 户 撤销 机 制 实现 的 隐 式 用 户 撤销 。 这 两 种 用 户 
撤销 机 制 的 存在 ， 使 得 协议 能 够 提供 一 种 灵活 而 高 效 的 组 用 户 动态 管理 机 制 ,从 而 更 好 地 适 
应 传感器 网 络 和 NEMO 环境 下 用 户 拓扑 结构 频繁 变化 的 组 通信 应 用 。 

我 们 针对 组 密 钥 分 发 协议 的 鲁 棒 性 、 可 扩展 性 和 动态 稳定 性 等 特性 进行 了 一 些 有 益 的 
探索 ,并 给 出 了 一 些 创 新 性 结论 。 但 考虑 到 组 通信 应 用 环境 的 实际 复杂 性 ,还 存在 如 下 一 些 
问题 ,需要 进一步 地 进行 深入 研究 。 

首先 ,提出 的 B-GKDS,S-GKDS 和 S-GKDS-TL 协议 存在 一 个 共同 的 局 限 性 , 即 组 会 
话 的 最 大 次 数 是 ;这 种 约束 的 存在 一 定 程 度 地 制约 了 协议 的 应 用 范围 。 对 某 些 实际 应 用 
而 言 ,我 们 需要 考虑 无 会 话 次 数 限制 的 组 密 钥 分 发 协议 。 因 此 ,如 何 改进 这 些 协 议 并 消除 这 
种 约束 ,是 我 们 目前 正在 进行 的 研究 工作 重点 。 值 得 一 提 的 是 ,解决 该 问题 的 相关 协议 锥 形 
正在 形成 ,并 处 于 逐步 完善 的 过 程 中 。 

其 次 ,关于 安全 组 密 钥 管 理 的 研究 主要 集中 在 组 密 钥 分 发 机 制 本 身 的 安全 性 、 动 态 性 和 
可 扩展 性 方面 的 研究 ,存在 着 与 实际 应 用 结合 得 不 够 等 问题 。 因 此 ,我 们 有 必要 在 将 来 的 工 
作 中 结合 具体 应 用 环境 的 特点 ,如 无 线 网 络 和 NEMO 移动 网 络 ,对 S-GKDS 和 S-GKDS- 
TL 协议 进行 逐步 完善 和 求 精 ,并 对 协议 的 实际 性 能 .安全 性 进行 相关 测试 分 析 , 以 期 进 一 
步 突出 研究 成 果 的 实用 价值 。 

此 外 ,组 通信 具有 广泛 的 应 用 ,把 组 密 钥 管理 方案 与 其 他 组 通信 的 应 用 特性 相 结合 , 寻 
求 最 佳 的 管理 方案 以 保证 数据 传输 所 需 的 各 种 性 能 和 安全 特性 , 仍 具 有 重要 的 研究 意义 和 
实用 价值 。 因 此 ,我 们 认为 关于 该 主题 的 研究 还 可 以 在 如 下 几 个 方向 加 以 深入 展开 : 

(1) 在 安全 的 组 密 钥 管理 中 ,可 以 根据 应 用 特点 进行 多 方面 特性 间 的 权衡 研究 。 这 些 
特性 包括 : 网 络 传输 效率 、 计 算 开销 ,存储 开销 、 安 全 性 可靠 性 ( 密 钥 恢 复 )、 网 络 带 宽 占用 
等 。 如 多 媒体 数据 的 传输 较 普通 数据 需要 更 大 的 网 络 带 宽 , 所 以 ,在 必要 的 情况 下 ,需要 牺 
牲 部 分 安全 性 或 增 大 计算 开销 或 增 大 存储 开销 ,以 换取 网 络 传输 的 高 效 性 。 这 方面 的 研究 
将 成 为 今后 多 媒体 安全 组 通信 中 密 钥 管理 研究 的 重要 内 容 。 

(2) 结合 具体 的 应 用 ,进行 组 密 钥 传输 方式 的 研究 。 如 采用 媒体 相关 信道 传输 方式 ,将 
密 钥 生成 、 分 发 .更 新 的 消息 包 嵌 入 视频 媒体 数据 流 进行 传输 ,以 减 小 密 钥 相关 消息 数据 被 
嗅 探 ,截获 的 可 能 性 ,提高 系统 的 安全 性 .提高 消息 传递 和 密 钥 更 新 效率 。 

(3) 针对 小 规模 、 高 安全 性 需求 的 多 媒体 组 通信 应 用 (如 安全 视频 会 议 、 安 全 电子 白板 ) 
进行 密 钥 协商 方案 的 研究 ;针对 组 成 员 相 对 独立 .广泛 分 布 、 成 员 关系 动态 变化 的 多 媒体 组 
通信 应 用 ,进行 大 规模 、 分 布 式 安全 组 通信 密 钥 管理 方案 的 研究 ,进而 推广 到 P2P 应 用 模 
式 中 。 
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47 无 线 传感器 网 络 中 的 密 钥 管理 


4.7.1 无 线 传感器 网 络 概述 


普遍 网 络 化 孕育 的 传感器 网 络 是 一 种 新 的 信息 获取 和 处 理 技术 。 在 特殊 领域 , 它 有 着 
传统 技术 不 可 比拟 的 优势 ,同时 也 必 将 开辟 出 不 少 新 颖 而 有 价值 的 商业 应 用 。 我 们 归纳 和 
总 结 了 已 有 的 研究 ,着重 介绍 路 由 和 介质 访问 控制 等 与 网 络 密切 相关 的 技术 问题 ,并 对 一 些 
可 能 的 研究 方向 进行 了 简要 的 阐述 C9 。 


4711 传感器 网 络 的 特点 


更 小 .更 廉价 的 低 功 耗 计算 设备 代表 的 “后 PC 时 代 ” 冲 破 了 传统 台式 计算 机 和 高 性 能 
服务 器 的 设计 模式 ;普遍 的 网 络 化 带 来 的 计算 处 理 能 力 是 难以 估量 的 ;微机 电 系 统 
(MEMS) 的 迅速 发 展 黄 定 了 设计 和 实现 片上 系统 (SoC) 的 基础 。 上 述 3 方面 的 高 度 集成 又 
孕育 出 了 许多 新 的 信息 获取 和 处 理 模式 ,传感器 网 络 就 是 其 中 一 例 。 

随机 分 布 的 集成 由 传感器 、 数 据 处 理 单元 和 通信 模块 的 微小 节点 通过 自 组 织 的 方式 构 
成 网 络 ,借助 于 节点 中 内 置 的 形式 多 样 的 传感器 测量 所 在 周边 环境 中 的 热 . 红 外、 声呐 、 雷 达 
和 地 震波 信号 ,从 而 探测 包括 温度 .湿度 .噪声 . 光 强 度 .压力 .土壤 成 分 .移动 物体 的 大 小 、 速 
度 和 方向 等 众多 我 们 感 兴 趣 的 物质 现象 。 在 通信 方式 上 ,虽然 可 以 采用 有 线 、 无 线 . 红 外 和 
光 等 多 种 形式 ,但 一 般 认 为 短 距 离 的 无 线 低 功率 通信 技术 最 适合 传感器 网 络 使 用 ,为 明确 起 
见 ,一 般 称 作 无 线 传 感 器 网 络 。 但 也 不 绝对 ,Berkeley 的 Smart Dust” 因为 可 以 像 侍 埃 一 
样 悬 浮 在 空中 ,有 效 地 避免 了 障碍 物 的 遮挡 ,因此 采用 光 作为 通信 介质 。 

无 线 传感器 网 络 与 传统 的 无 线 网 络 ( 如 WLAN 和 蜂窝 移动 电话 网 络 ) 有 着 不 同 的 设计 
目标 ,后 者 在 高 度 移动 的 环境 中 通过 优化 路 由 和 资源 管理 策略 最 大 化 带宽 的 利用 率 ,同时 为 
用 户 提供 一 定 的 服务 质量 保证 。 在 无 线 传感器 网 络 中 ,除了 少数 节点 需要 移动 以 外 ,大 部 分 
节点 都 是 静止 的 。 因 为 它们 通常 运行 在 人 无 法 接近 的 恶劣 甚至 危险 的 远程 环境 中 ,能 源 无 
法 替代 ,设计 有 效 的 策略 延长 网 络 的 生命 周期 成 为 无 线 传感器 网 络 的 核心 问题 。 当 然 ,从 理 
论 上 讲 , 太 阳 能 电池 能 够 持久 地 补给 能 源 , 但 工程 实践 中 生产 这 种 微型 化 的 电池 还 有 相当 的 
难度 。 在 无 线 传感器 网 络 的 研究 初期 ,人 们 一 度 认为 成 熟 的 Internet 技术 加 上 Ad-hoc 路 由 
机 制 对 传感器 网 络 的 设计 是 足够 充分 的 ,但 更 深入 的 研究 表明 : 传感器 网 络 有 着 与 传统 网 
络 明显 不 同 的 技术 要 求 。 前 者 以 数据 为 中 心 , 后 者 以 传输 数据 为 目的 。 为 了 适应 广泛 的 应 
用 程序 ,传统 网 络 的 设计 遵循 着 端 到 端 边 缘 论 思想 号] ,强调 将 一 切 与 功能 相关 的 处 理 都 放 
在 网 络 的 端 系统 上 ,中间 节 点 仅仅 负责 数据 分 组 的 转发 ,对 于 传感器 网 络 , 这 未 必 是 一 种 合 
理 的 选择 。 一 些 为 自 组 织 的 Ad-hoc 网 络 设 计 的 协议 和 算法 未 必 适 合 传感器 网 络 的 特点 和 
应 用 的 要 求 。 节 点 标识 (如 地 址 等 ) 的 作用 在 传感器 网 络 中 就 显得 不 是 十 分 重要 ,因为 应 用 
程序 不 关心 单 节点 上 的 信息 ;中 间 节 点 上 与 具体 应 用 相关 的 数据 处 理 、 融 合 和 缓存 也 显得 很 
有 必要 。 在 密集 型 的 传感器 网 络 中 , 相 邻 节点 间 的 距离 非常 短 , 低 功 耗 的 多 跳 通 信和 模式 节省 
功 耗 , 同 时 增加 了 通信 的 隐蔽 性 ,也 避免 了 长 距离 的 无 线 通信 和 吻 受 外 界 噪声 干扰 的 影响 。 这 


Sam minm 
些 独特 的 要 求 和 制约 因素 为 传感器 网 络 的 研究 提出 了 新 的 技术 问题 。 
4712 传感器 网 络 的 体系 结构 


1. 节点 组 成 

在 不 同 的 应 用 中 ,传感器 网 络 节点 的 组 成 不 尽 相同 ,但 一 般 都 由 数据 采集 数据 处 理 、 数 
据 传 输 和 电源 这 4 部 分 组 成 。 被 监测 物理 信号 的 形式 决定 了 传感器 的 类 型 。 处 理 器 通常 选 
FA Ast CPU ,如 Motorola 的 68HC16, ARM 公司 的 ARM7 和 Intel 的 8086 等 。 数 据 传 
输 单元 主要 由 低 功 耗 、 短 距离 的 无 线 通信 模块 组 成 ,比如 REM 公司 的 TR1000 等 。 因 为 需 
要 进行 较 复杂 的 任务 调度 与 管理 ,因此 系统 需要 一 个 微型 化 的 操作 系统 ,UC Berkeley 为 此 
专门 开发 了 TinyOS?! , 49 .uCOS- Il MH ASE Linux 等 也 是 不 错 的 选择 。 图 4.7. 1 描述 
了 节点 的 组 成 ,其 中 实心 箭头 的 方向 表示 数据 在 节点 中 的 流动 方向 。 
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图 4.7.1 传感器 网 络 节点 的 组 成 


2. 网 络 体系 结构 

在 传感器 网 络 中 ,节点 任意 散落 在 被 监测 区 域内 ,这 一 过 程 是 通过 飞行 器 撒播 .人 工 埋 
置 和 火箭 弹射 等 方式 完成 的 。 节 点 以 自 组 织 形式 构成 网 络 ,通过 多 跳 中 继 方式 将 监测 数据 
传 到 sink 节点 ,最终 借 助长 距离 或 临时 建立 的 sink 链 路 将 整个 区 域内 的 数据 传送 到 远程 中 
心 进行 集中 处 理 。 卫 星 链 路 可 用 作 sink 链 路 ,借助 游 尺 在 监测 区 上 空 的 无 人 飞机 回收 sink 
节点 上 的 数据 也 是 一 种 方式 ,UC Berkeley 在 进行 UAV (unmanned aerial vehicle) Jii H7 
的 外 场 测试 时 便 采用 了 这 种 方式 。 如 果 网 络 规模 太 大 ,可 以 采用 聚 类 分 层 的 管理 模 
式 , 图 4.7.2 给 出 了 传感器 网 络 体系 结构 一 般 形式 的 描述 。 


4713 传感器 网 络 的 应 用 


MEMS 支持 下 的 微小 传感器 技术 和 节点 间 的 无 线 通信 能 力 为 传感器 网 络 赋予 了 广阔 
的 应 用 前 景 ,主要 表现 在 军事 、 环 境 、 健 康 、 家 庭 和 其 他 商业 领域 。 当 然 ,在 空间 探索 和 灾难 
拯救 等 特殊 领域 ,传感器 网 络 也 有 其 得 天 独 厚 的 技术 优势 。 


1. 军事 应 用 
在 军事 领域 ,传感器 网 络 将 会 成 为 CAISRT (command, control. communication, com- 
puting, intelligence, surveillance, reconnaissance and targeting) 系 统 不 可 或 缺 的 一 部 分 。 
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图 4.7.2 传感器 网 络 的 体系 结构 


C4ISRT 系统 的 目标 是 利用 先进 的 高 科技 为 未 来 的 现代 化 战争 设计 一 个 集 命令 、 控 制 、 通 
信 、 计 算 、 智 能 监视、 侦察 和 定位 于 一 体 的 战场 指挥 系统 ,受到 了 军事 发 达 国 家 的 普遍 重视 。 
因为 传感器 网 络 是 由 密集 型 、 低 成 本 、 随 机 分 布 的 节点 组 成 的 , 自 组 织 性 和 容错 能 力 使 其 不 
会 因为 某 些 节 点 在 恶意 攻击 中 的 损坏 而 导致 整个 系统 的 崩溃 ,这 一 点 是 传统 的 传感器 技术 
所 无 法 比拟 的 ,也 正 是 这 一 点 ,使 传感器 网 络 非 常 适合 应 用 于 恶劣 的 战场 环境 中 ,包括 监控 
我 军 兵力 ,装备 和 物资 ,监视 冲突 区 ,侦察 敌 方 地 形 和 布防 ,定位 攻击 目标 ,评估 损失 ,侦察 和 
探测 核 , 生 物 和 化 学 攻击 。 在 战场 ,指挥 员 往 往 需 要 及 时 准确 地 了 解 部 队 、 武 器 装备 和 军用 
物资 供给 的 情况 ,铺设 的 传感器 将 采集 相应 的 信息 ,并 通过 汇聚 节点 将 数据 送 至 指挥 所 ,再 
转发 到 指挥 部 ,最 后 融合 来 自 各 战场 的 数据 形成 完备 的 战区 态势 图 。 在 战争 中 ,对 冲突 区 和 
军事 要 地 的 监视 也 是 至 关 重 要 的 ,通过 铺设 传感器 网 络 ,以 更 隐蔽 的 方式 近 距离 地 观察 敌 方 
的 布防 ;当然 ,也 可 以 直接 将 传感器 节点 撤 向 敌 方 阵地 ,在 敌 方 还 未 来 得 及 反应 时 迅速 收集 
利于 作战 的 信息 。 传 感 器 网 络 也 可 以 为 火 控 和 制导 系统 提供 准确 的 目标 定位 信息 。 在 生物 
和 化 学 战 中 ,利用 传感器 网 络 及 时 准确 地 探测 爆炸 中 心 将 会 为 我 军 提供 宝贵 的 反应 时 间 ， 
从 而 最 大 可 能 地 减 小 伤亡 。 传 感 器 网 络 也 可 以 避免 核反应 部 队 直接 暴露 在 核 辐射 的 环境 
中 。 在 军事 应 用 中 ,与 独立 的 卫星 和 地 面 雷 达 系 统 相 比 , 传 感 器 网 络 的 潜在 优势 表现 在 以 下 
几 个 方面 : 

COD 分 布 节点 中 多 角度 和 多 方位 信息 的 综合 有 效 地 提高 了 信 噪 比 ,这 一 直 是 卫星 和 雷 
达 这 一 类 独立 系统 难以 克服 的 技术 问题 之 一 。 

(2) 传感器 网 络 低 成 本 \ 高 宛 余 的 设计 原则 为 整个 系统 提供 了 较 强 的 容错 能 力 。 

(3) 传感器 节点 与 探测 目标 的 近 距 离 接 触 极 大 地 消除 了 环境 噪声 对 系统 性 能 的 影响 。 

(4) 节点 中 多 种 传感器 的 混合 应 用 有 利于 提高 探测 的 性 能 指标 。 

(5) 多 节点 联合 ,形成 覆盖 面积 较 大 的 实时 探测 区 域 。 

(6) 借助 于 个 别 具 有 移动 能 力 的 节点 对 网 络 拓扑 结构 的 调整 能 力 ,可 以 有 效 地 消除 探 
测 区 域内 的 阴影 和 盲点 。 


2. 环境 科学 
随 着 人 们 对 于 环境 的 日 益 关 注 ,环境 科学 所 涉及 的 范围 越 来 越 广泛 。 通 过 传统 方式 采 
集 原始 数据 是 一 件 困难 的 工作 。 传 感 器 网 络 为 野外 随机 性 的 研究 数据 获取 提供 了 方便 , 比 
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如 ,跟踪 候鸟 和 昆虫 的 迁移 ,研究 环境 变化 对 农作物 的 影响 ,监测 海洋 .大气 和 土壤 的 成 分 
5$. ALERTE 系统 中 就 有 数 种 传感器 用 于 监测 降雨 量 、 河 水 水 位 和 土壤 水 分 ,并 依 此 预测 
爆发 山洪 的 可 能 性 5 。 类 似 地 ,传感器 网 络 对 森林 火灾 准确 .及 时 地 预报 也 是 有 帮助 的 。 
此 外 ,传感器 网 络 也 可 以 应 用 在 精细 农业 中 ,以 监测 农作物 中 的 害虫 .土壤 的 酸碱度 和 施肥 


3. 医疗 健康 

如 果 在 住院 病人 身上 安装 特殊 用 途 的 传感器 节点 ,如 心率 和 血压 监测 设备 ,利用 传感器 
网 络 ,医生 就 可 以 随时 了 解 被 监护 病人 的 病情 ,进行 及 时 处 理 C%] 。 还 可 以 利用 传感器 网 络 
长 时 间 地 收集 人 的 生理 数据 ,这 些 数据 在 研制 新 药品 的 过 程 中 是 非常 有 用 的 ,而 安装 在 被 监 
测 对 象 身上 的 微型 传感器 也 不 会 给 人 的 正常 生活 带 来 太 多 的 不 便 。 此 外 ,在 药物 管理 等 诸 
多 方面 ,也 有 新 颖 而 独特 的 应 用 。 总 之 ,传感器 网 络 为 未 来 的 远程 医疗 提供 了 更 加 方便 、 快 
捷 的 技术 实现 手段 。 


4. 空间 探索 

探索 外 部 星球 一 直 是 人 类 梦 襟 以 求 的 理想 ,借助 于 航天 器 布 撤 的 传感器 网 络 节点 实现 
对 星球 表面 长 时 间 的 监测 ,应 该 是 一 种 经 济 、 可 行 的 方案 。NASA 的 JPL(Jet Propulsion 
Laboratory) 实 验 室 研制 的 Sensor Webs550 就 是 为 将 来 的 火星 探测 进行 技术 准备 的 ,已 在 佛 
罗 里 达 宇航 中 心 周围 的 环境 监测 项 目 中 进行 测试 和 完善 。 

5. 其 他 商业 应 用 

自 组 织 微型 化 和 对 外 部 世界 的 感知 能 力 是 传感器 网 络 的 三 大 特点 ,这 些 特 点 决定 了 传 
感 器 网 络 在 商业 领域 应 该 也 会 有 不 少 的 机 会 。 比 如 ,嵌入 家 具 和 家 电 中 的 传感器 与 执行 机 
构 组 成 的 无 线 网 络 与 Internet 连接 在 一 起 将 会 为 我 们 提供 更 加 舒适 \ 方 便 和 具有 人 性 化 的 
智能 家 居 环 境 ;文献 [92] 中 描述 的 城市 车 辆 监测 和 跟踪 系统 中 成 功 地 应 用 了 传感器 网 络 ; 德 
国 某 研究 机 构 正 在 利用 传感器 网 络 技术 为 足球 裁判 研制 一 套 辅助 系统 ,以 减 小 足球 比赛 中 
越位 和 进 球 的 误 判 率 。 此 外 ,在 灾难 拯救 ,仓库 管理 交互 式 博物 馆 、 交 互 式 玩具 、 工 厂 自动 
化 生产 线 等 众多 领域 ,无 线 传感器 网 络 都 将 会 孕育 出 全 新 的 设计 和 应 用 模式 。 


47.14 传感器 网 络 在 网 络 层 研究 的 热点 问题 


迄今 为 止 ,传感器 网 络 的 研究 大 致 经 过 了 两 个 阶段 。 第 1 阶段 主要 偏重 利用 MEMS 技 
术 设计 小 型 化 的 节点 设备 ,代表 性 的 研究 项 目 有 WINSC? 和 Smart Dust。 对 于 网 络 本 身 问 
题 的 关注 和 研究 可 以 认为 是 传感器 网 络 研 究 的 第 2 个 阶段 ,目前 正在 成 为 无 线 网 络 研究 领 
域 的 一 个 不 小 的 热点 。 从 网 络 分 层 模型 的 角度 分 析 , 每 一 层 都 有 需要 结合 传感器 网 络 的 特 
点 进行 细致 研究 的 问题 ,就 已 有 的 研究 而 言 , 主 要 集中 在 网 络 层 和 链 路 层 。 

传感器 网 络 中 的 路 由 协议 分 为 平面 型 和 层次 型 两 种 ,但 大 都 采用 多 跳 形式 在 节点 和 易 
移动 的 sink 节点 之 间 建 立 连 接 。Ad-hoc 网 络 中 已 有 的 多 跳 路 由 协议 ,如 AODV (ad-hoc 
demand distance vector) 和 TORA(temporally ordered routing algorithm) 等 ,一般 都 不 适合 
传感器 网 络 的 特点 和 要 求 。 传 感 器 中 的 大 部 分 节点 不 像 Ad-hoc 网 络 中 的 节点 那样 快速 移 
动 , 因 此 没有 必要 花费 很 大 的 代价 频繁 地 更 新 路 由 表 信 息 。 
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1. 平面 路 由 协议 

(1) Flooding 

泛 洪 是 一 种 传统 的 路 由 技术 ,不 要 求 维护 网 络 的 拓扑 结构 ,并 进行 路 由 计算 ,接收 到 消 
息 的 节点 以 广播 形式 转发 分 组 。 对 于 自 组 织 的 传感器 网 络 , 泛 洪 路 由 是 一 种 较 直 接 的 实现 
方法 ,但 消息 的 “内 爆 (implosion)” 和 “重生 (overlap)” 是 其 固有 的 缺陷 。 为 了 克服 这 些 缺 
陷 ,S. Hedetniemi 等 人 提出 了 Gossiping 策略 ,节点 随机 选取 一 个 相 邻 节点 转发 它 接收 
到 的 分 组 ,而 不 是 采用 广播 形式 。 这 种 方法 避免 了 消息 的 “内 爆 ” 现 象 ,但 有 可 能 增加 端 到 端 
的 传输 延 时 。 

(2) SPIN (sensor protocol for information via negotiation) P? 

SPIN 是 以 数据 为 中 心 的 自 适应 路 由 协议 ,通过 协商 机 制 来 解决 泛 洪 算法 中 的 “内 爆 ” 
和 "* 重 看 ”问题 。 传 感 器 节点 仅 广播 采集 数据 的 描述 信息 , 当 有 相应 的 请 求 时 , 才 有 目的 地 发 
送 数据 信息 。SPIN 协议 中 有 3 种 类 型 的 消息 , 即 ADV, REQ 和 DATA。 节 点 用 ADV 宣 
布 有 数据 发 送 ,用 REQ 请 求 希望 接收 数据 ,用 DATA 封装 数据 。SPIN 协议 有 4 种 不 同 的 
形式 : 

。 SPIN-PP 采用 点 到 点 的 通信 模式 ,并 假定 两 节点 间 的 通信 不 受 其 他 节点 的 干扰 ,分 
组 不 会 丢失 ,功率 没有 任何 限制 。 要 发 送 数据 的 节点 通过 ADV 向 它 的 相 邻 节点 广 
播 消息 , 感 兴趣 的 节点 通过 REQ 发 送 请 求 ,数据 源 向 请 求 者 发 送 数据 。 接 收 到 数据 
的 节点 再 向 它 的 相 邻 节点 广播 ADV 消息 ,如 此 重复 ,使 所 有 节点 都 有 机 会 接收 到 任 
何 数据 。 
SPIN-EC: 在 SPIN-PP 的 基础 上 考虑 了 节点 的 功 耗 , 只 有 能 够 顺利 完成 所 有 任务 且 
能 量 不 低 于 设 定 阅 值 的 节点 才 可 参与 数据 交换 。 
SPIN-BC: 设计 了 广播 信道 ,使 所 有 在 有 效 半径 内 的 节点 可 以 同时 完成 数据 交换 。 
为 了 防止 产生 重复 的 REQ 请 求 , 节 点 在 听 到 ADV 消息 以 后 , 设 定 一 个 随机 定时 器 
来 控制 REQ 请 求 的 发 送 ,其 他 节点 听 到 该 请 求 , 主 动 放弃 请 求 权利 。 
SPIN-RL: 它 是 对 SPIN-BC 的 完善 ,主要 考虑 如 何 恢复 无 线 链 路 引入 的 分 组 差错 与 
丢失 。 记 录 ADV 消息 的 相关 状态 ,如 果 在 确定 时 间 间 隔 内 接收 不 到 请 求 数据 , 则 发 
送 重 传 请 求 , 重 传 请 求 的 次 数 有 一 定 的 限制 。 

(3) SAR (sequential assignment routing) 9 

在 选择 路 径 时 ,有 序 分 配 路 由 (SAR) 策 略 充分 考虑 了 功 耗 .QoS 和 分 组 优先 权 等 特殊 
要 求 ,采用 局 部 路 径 恢复 和 多 路 径 备 份 策略 ,避免 节点 或 链 路 失败 时 进行 路 由 重 计算 需要 的 
过 量 计算 开销 。 为 了 在 每 个 节点 与 sink 节点 间 生 成 多 条 路 径 , 需 要 维护 多 个 树 结构 ,每 个 
树 以 落 在 sink 节点 有 效 传输 半径 内 的 节点 为 根 向 外 生长 , 枝 干 的 选择 需 满足 一 定 QoS CK 
并 要 有 一 定 的 能 量 储备 。 这 一 处 理 使 大 多 数 传感器 节点 可 能 同时 属于 多 个 树 ,可 任 选 其 一 
将 采集 数据 回 传 到 sink 节点 。 

(4) 定向 扩散 (directed diffusion)??? 

定向 扩散 模型 是 Estrin 等 人 专门 为 传感器 网 络 设计 的 路 由 策略 ,与 已 有 的 路 由 算法 有 
着 截然 不 同 的 实现 机 制 。 节 点 用 一 组 属性 值 来 命名 它 所 生成 的 数据 ,比如 将 地 震波 传感器 
生成 的 数据 命名 为 Type= seismic,id 一 12,timestamp 一 02. 01. 22/21:10:23,locate-on = 
75 一 80S/100 一 120E。Sink 节点 发 出 的 查询 业务 也 用 属性 的 组 合 表示 , 逐 级 扩散 ,最 终 遍 历 
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全 网 ,找到 所 有 匹配 的 原始 数据 。 有 一 个 称 为 “梯度 ”的 变量 与 整个 业务 请 求 的 扩散 过 程 相 
联系 ,反映 了 网 络 中 间 节 点 对 匹配 请 求 条 件 的 数据 源 的 近似 判断 。 更 直接 的 方法 是 ,节点 用 
一 组 标量 值 表示 它 的 选择 , 值 越 大 意味 着 向 该 方向 继续 搜索 获得 匹配 数据 的 可 能 性 越 大 ,这 
样 的 处 理 最 终 将 会 在 整个 网 络 中 为 sink 节点 的 请 求 建 立 一 个 临时 的 “梯度 ” 场 ,匹配 数据 可 
以 沿 “ 梯 度 ” 最 大 的 方向 中 继 回 sink 节点 。 图 4. 7. 3 描述 了 定向 扩散 模型 的 工作 原理 。 
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图 4.7.3 定向 扩散 路 由 原理 


2， 层 次 路 由 协议 

(1) LEACH (low energy adaptive clustering hierarchy)"*! 

LEACH 是 MIT 的 Chandrakasan 等 人 为 无 线 传感器 网 络 设计 的 低 功 耗 自 适应 聚 类 路 
由 算法 。 与 一 般 的 平面 多 跳 路 由 协议 和 静态 聚 类 算法 相 比 ,LEACH 可 以 将 网 络 生命 周期 
延长 15% ,主要 通过 随机 选择 聚 类 首领 ,平均 分 担 中 继 通信 业务 来 实现 。LEACH 定义 了 
"i£ Cround) ”的 概念 ,一 轮 由 初始 化 和 稳定 工作 两 个 阶段 组 成 。 为 了 避免 额外 的 处 理 开 销 ， 
稳定 态 一 般 持续 相对 较 长 的 时 间 。 

在 初始 化 阶段 , 聚 类 首领 是 通过 下 面 的 机 制 产 生 的 。 传 感 器 节点 生成 0,1 之 间 的 随机 
数 , 如 果 大 于 阔 值 了 , 则 选 该 节点 为 聚 类 首领 。T 的 计算 方法 如 下 : 


oe p. 
T 1 — pLrmod(1/p) J 


其 中 ,p 为 节点 中 成 为 聚 类 首领 的 百分数 ,~ 是 当前 的 轮 数 。 一 旦 聚 类 首领 被 选 定 , 它 们 便 
主动 向 所 有 节点 广播 这 一 消息 。 依 据 接收 信号 的 强度 ,节点 选择 它 所 要 加 入 的 组 ,并 告知 相 
应 的 聚 类 首领 。 基 于 时 分 复 用 的 方式 , 聚 类 首领 为 其 中 的 每 个 成 员 分 配 通 信 时 隙 。 在 稳定 
工作 阶段 ,节点 持续 采集 监测 数据 , 传 与 聚 类 首领 ,进行 必要 的 融合 处 理 之 后 ,发 送 到 sink 
节点 ,这 是 一 种 减 小 通信 业务 量 的 合理 工作 模式 。 持 续 一 段 时 间 以 后 ,整个 网 络 进 入 下 一 轮 
工作 周期 ,重新 选择 聚 类 首领 。 

(2) TEEN (threshold sensitive energy efficient sensor network protocol)" 

依照 应 用 模式 的 不 同 ,通常 可 以 简单 地 将 无 线 自 组 织 网 络 (包括 传感器 网 络 和 Ad-hoc 
网 络 ) 分 为 主动 (proactive) 和 响应 (reactive) 两 种 类 型 。 主 动 型 传感器 网 络 持续 监测 周围 的 
物质 现象 ,并 以 恒定 速率 发 送 监测 数据 ;而 响应 型 传感器 网 络 只 是 在 被 观测 变量 发 生 突变 时 
才 传 送 数 据 。 相 比 之 下 ,响应 型 传感器 网 络 更 适用 于 敏感 时 间 的 应 用 中 。TEEN 与 
LEACH 的 实现 机 制 非常 相似 ,只 是 前 者 是 响应 型 的 ,而 后 者 属于 主动 型 传感器 网 络 。 在 
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TEEN 中 定义 了 硬 、 软 两 个 门限 值 , 以 确定 是 否 需 要 发 送 监测 数据 。 当 监测 数据 第 一 次 超 
过 设 定 的 硬 门限 时 ,节点 用 它 作 为 新 的 硬 门限 ,并 在 接着 到 来 的 时 隙 内 发 送 它 。 在 接 下 来 的 
过 程 中 ,如 果 监 测 数据 的 变化 幅度 大 于 软 门限 界定 的 范围 , 则 节点 传送 最 新 采集 的 数据 ,并 
将 它 设 定 为 新 的 硬 门 限 。 通 过 调节 软 门限 值 的 大 小 ,可 以 在 监测 精度 和 系统 能 耗 之 间 取 得 
合理 的 平衡 。NS2 平台 上 的 仿真 研究 结果 表明 De , TEEN HE LEACH 更 有 效 。 


(3) PEGASIS (power-efficient gathering in sensor information system)??? 


PEGASIS 由 LEACH 发 展 而 来 。 它 假定 组 成 网 络 的 传感器 节点 是 同 构 且 静止 的 。 节 
点 发 送 能 量 递减 的 测试 信号 ,通过 检测 应 答 来 确定 离 自 己 最 近 的 相 邻 节点 。 通 过 这 种 方式 ， 
网 络 中 的 所 有 节点 能 够 了 解 彼此 的 位 置 关 系 , 进 而 每 个 节点 依据 自己 的 位 置 选择 所 属 的 聚 
类 , 聚 类 的 首领 参照 位 置 关 系 优化 出 到 sink 节点 的 最 佳 链 路 。 因 为 PEGASIS 中 每 个 节点 
都 以 最 小 功率 发 送 数据 分 组 ,并 有 条 件 完成 必要 的 数据 融合 , 减 小 业务 流量 ,因此 ,整个 网 络 
的 功 耗 较 小 。 研 究 结果 表明 ,PEGASIS 支持 的 传感器 网 络 的 生命 周期 是 LEACH 的 近 两 
倍 。PEGASIS 协议 的 不 足 之 处 在 于 节点 维护 位 置信 息 ( 相 当 于 传统 网 络 中 的 拓扑 信息 ) 需 
要 额外 的 资源 。 

(4) BEARER 

多 层 聚 类 算法 是 Estrin 为 传感器 网 络 设计 的 一 种 新 的 聚 类 实现 机 制 。 工 作 在 网 络 中 
的 传感器 节点 处 于 不 同 的 层 , 所 处 层次 越 高 , 则 所 覆盖 面积 越 大 。 起 初 ,所 有 节点 均 在 最 低 
层 , 通 过 竞争 获得 提升 高 层 的 机 会 。 当 新 的 工作 周期 开始 时 ,每 一 个 节点 都 广播 自己 的 状态 
信息 ,包括 储备 能 量 、 所 在 层次 和 首领 的 ID( 如 果 有 ) 等 ,然后 进入 等 待 状态 以 便 相互 了 解 信 
息 , 等 待 时 间 与 所 在 层次 成 正比 。 处 在 最 底层 的 节点 如 果 没 有 首领 ,在 等 待 状态 结束 后 , 立 
刻 启动 一 个 “晋升 定时 器 ”, 定 时 时 间 与 自身 能 量 以 及 接收 到 同 层 其 他 节点 广播 消息 的 数目 
成 反比 ,目的 是 为 能 量 较 高 且 在 密集 区 的 节点 获得 较 多 的 提升 机 会 。 一 旦 定时 时 间 到 ,节点 
升 人 高 层 , 将 有 发 给 自己 广播 消息 的 节点 视 为 潜在 的 子 节点 ,并 广播 自己 新 的 状态 信息 , 低 
层 节 点 选择 响应 这 些 准 首领 的 广播 消息 ,最 终 确定 唯一 的 通信 关系 。 选 择 了 首领 的 节点 , 自 
己 的 “晋升 定时 器 ”将 停止 工作 ,也 就 意味 着 本 轮 放 弃 了 晋升 机 会 。 在 每 一 个 工作 周期 结束 
以 后 ,高 层 节点 将 视 自 己 的 状态 信息 (如 有 无 子 节点 ,功率 是 否 充 足 ) 来 决定 是 否 让 出 首领 位 
置 。 上 述 多 层 聚 类 算法 具有 递归 性 ,Estrin 等 人 用 两 层 模型 验证 了 它 在 传感器 网 络 中 的 有 
效 性 。 


4715 传感器 网 络 在 链 路 层 研究 的 热点 问题 


链 路 层 协议 用 于 建立 可 靠 的 点 到 点 或 点 到 多 点 通信 和 链 路 ,主要 由 介质 访问 控制 (MAC) 
组 成 。 就 实现 机 制 而 言 ,MAC 协议 分 为 3 类 : 确定 性 分 配 、 竞 争 占 用 和 随机 访问 。 前 两 者 
不 是 传感器 网 络 的 理想 选择 。 因 为 TDMA 固定 时 隙 的 发 送 模式 功 耗 过 大 ,为 了 节省 功 耗 ， 
空闲 状态 应 关闭 发 射 机 ;竞争 占用 方案 需要 实时 监测 信道 状态 ,也 不 是 一 种 合理 的 选择 ; 随 
机 介质 访问 模式 比较 适合 于 无 线 传 感 网 络 的 节能 要 求 。 

KET E WE R éR Ad-hoc 和 蓝牙 技术 是 当前 主流 的 无 线 网 络 技术 ,但 它们 各 自 的 MAC 
协议 不 适合 无 线 传感器 网 络 。GSM 和 CDMA 中 的 介质 访问 控制 主要 关心 如 何 满 足 用 户 的 
QoS 要 求 和 节省 带宽 资源 , 功 耗 是 第 二 位 的 ;Ad-hoc 网 络 则 考虑 如 何在 节点 具有 高 度 移动 
性 的 环境 中 建立 彼此 间 的 链接 ,同时 兼顾 一 定 的 QoS 要 求 , 功 耗 也 不 是 其 首要 关心 的 ;而 蓝 
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牙 采用 了 主 从 式 的 星 形 拓扑 结构 ,这 本 身 就 不 适合 传感器 网 络 自 组 织 的 特点 。 
基于 以 上 两 个 方面 的 原因 ,需要 为 传感器 网 络 设计 新 的 低 功 耗 MAC 协议 。 下 面 我 们 
简单 介绍 几 种 已 有 的 典型 方案 。 


1.SMACSDo 

SMACS 是 分 布 式 的 MAC 协议 ,无 需 任何 局 部 或 全 局 主 节点 的 调度 便 能 让 传感器 节点 
发 现 相 邻 节点 ,并 安排 合理 信道 占用 时 间 。 在 具体 实现 中 , 相 邻 节点 的 发 现 和 信道 的 分 配 是 
一 起 完成 的 ,因此 , 当 节点 听 到 它 所 有 的 相 邻 节点 时 ,也 就 意味 着 已 经 建立 相应 的 通信 子 网 ， 
链 路 由 固定 频率 、 随 机 选择 的 时 隙 组 成 。SMACS 无 需 全 网 的 时 间 同 步 机 制 , 但 在 各 子 网 内 
部 保持 同步 是 必要 的 。 在 竞争 信道 资源 时 , 带 延 时 的 随机 唤醒 机 制 有 效 地 减 小 了 能 量 的 损 
耗 。SMACS 的 缺点 是 时 隙 分 配方 案 不 够 严密 ,属于 不 同 子 网 的 节点 之 间 有 可 能 永远 得 不 
到 通信 机 会 。 

2. 基于 CSMA 的 介质 访问 控制 "3 

传统 的 载波 侦 听 /多 路 访问 (CCSMA) 机 制 不 适合 传感器 网 络 的 原因 有 两 个 : 其 一 ,持续 
侦 听 信道 的 过 量 功 耗 ;其 二 ,倾向 支持 独立 的 点 到 点 通信 业务 ,这 样 容易 导致 临近 网 关 的 节 
点 获得 更 多 的 通信 机 会 ,而 抑制 多 跳 业务 流量 ,造成 不 公平 。 为 了 弥补 这 些 缺 陷 , Woo 和 
Culler 从 两 个 方面 对 传统 的 CSMA 进行 了 改进 ,以 适应 传感器 网 络 的 技术 要 求 : 采用 固 
定时 间 间 隔 的 周期 性 侦 听 方案 节省 功 耗 ; 四 设计 自 适 应 传输 速率 控制 (adaptive 
transmission rate control, ARC) 策 略 , 有 针对 性 地 抑制 单 跳 通 信 业 务 量 , 为 中 继 业 务 提供 更 
多 的 服务 机 会 ,提高 公平 性 。 相 似 的 工作 还 有 Ye 等 人 设计 的 SMAC(sensor media access 
control) BHXU*? 。 它 也 是 利用 周期 性 侦 听 机 制 节 省 功 耗 , 但 没有 考虑 公平 性 问题 ,而 是 在 
PAMAS(power aware multi-access protocol with signalling) 99 的 启发 下 ,精简 了 用 于 同步 
和 避免 冲突 的 信 令 机 制 。 以 上 两 种 基于 CSMA 改进 的 传感器 网 络 MAC 协议 都 在 TinyOS 
微 操作 系统 上 进行 了 实现 , 并 分 别 在 SmartDusi?? 硬件 平台 上 进行 了 测试 , 比 
802. 11 标准 定义 的 MAC 协议 节省 了 1 一 5 倍 的 功 耗 ,基本 上 可 为 传感器 网 络 所 用 。 


3. TDMA/FDMA 组 合 方案 9 

Sohrabi 和 Pottie 设计 的 传感器 网 络 自 组 织 MAC 协议 是 一 种 时 分 复 用 和 频 分 复 用 的 
混合 方案 ,具有 一 定 的 代表 性 。 节 点 上 维护 着 一 个 特殊 的 结构 帧 ,类 似 于 TDMA 中 的 时 际 
分 配 表 ,节点 据 此 调度 它 与 相 邻 节点 间 的 通信 。FDMA 技术 提供 的 多 信道 ,使 多 个 节点 之 
间 可 以 同时 通信 ,有 效 地 避免 了 冲突 。 只 是 在 业务 量 较 小 的 传感器 网 络 中 ,该 组 合 协议 的 信 
道 利 用 率 较 低 , 因 为 事先 定义 的 信道 和 时 隙 分 配方 案 限 制 了 对 空闲 时 际 的 有 效 利用 。 

4716 其 他 重要 的 热点 问题 

除了 网 络 自身 的 问题 以 外 ,还 有 许多 关键 问题 也 引起 了 研究 者 广泛 的 兴趣 ,主要 集中 在 
两 个 方面 , 即 如 何 从 系统 角度 出 发 节省 功 耗 以 及 与 应 用 相关 的 共性 技术 。 

1. 系统 节能 策略 

(1) 动态 功率 管理 "中 


在 多 数 传感器 网 络 的 应 用 中 ,监测 事件 具有 很 强 的 偶发 性 ,节点 上 所 有 的 工作 单元 没有 
必要 时 刻 保持 在 正常 的 工作 状态 。 处 于 沉寂 状态 ,甚至 完全 关闭 ,必要 时 加 以 唤醒 是 一 种 有 
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效 的 系统 节能 方案 。 传 感 器 网 络 节点 的 主要 功 耗 器 件 有 处 理 器 .内 存 . 带 A/D 的 传感器 和 
无 线 收发 单元 。Sinhua 等 人 根据 它们 的 状态 组 合 的 有 效 性 ,将 整个 节点 分 为 5 种 工作 状 
AS ,在 嵌入 式 操作 系统 的 支持 下 进行 切换 , 既 满足 了 功能 的 需要 ,又 节省 了 功 耗 。 

(2) 动态 电压 调度 

在 文献 [108] 中 ,由 Lm 等 人 提出 的 动态 电压 调度 (dynamic voltage scheduling, DVS) 
策略 的 主要 原理 是 基于 负载 状态 动态 调节 供电 电压 来 减 小 系统 功 耗 ,并 被 应 用 到 PDA 之 
类 的 个 人 移动 设备 上 。 由 此 受到 启发 ,我 们 将 其 应 用 到 传感器 网 络 中 ,提出 了 如 图 4. 7. 4 所 
示 的 功率 控制 原理 图 。 节 点 上 的 骨 和 人 式 操 作 系 统 负责 调度 来 自 不 同 任务 队列 的 请 求 接受 服 
务 , 并 实时 监测 处 理 器 的 利用 率 和 任务 队列 的 长 度 , 负 载 观测 器 依据 这 两 个 参数 的 序列 值 计 
算 负载 的 标 称 值 ww, 直 流 / 直 流 变换 器 参照 该 值 输出 幅 值 为 A 的 电压 ,支持 处 理 器 的 正常 工 
作 。 这 构成 了 一 个 典型 的 闭环 反馈 系统 。 控 制 理论 中 成 熟 的 方法 可 以 为 该 系统 中 各 个 模块 


的 设计 提供 有 力 的 支持 。 
参考 电压 2) DC/DC - e 
" "| 
处 理 器 
图 4.7.4 DVS 功率 控制 原理 图 
2. 共性 技术 


在 大 多 数 传感器 网 络 的 应 用 中 ,诸如 目标 定位 和 时 间 同 步 等 一 些 共 性 技术 的 支持 是 必 
不 可 少 的 ,在 军事 应 用 中 它们 显得 更 为 重要 ,因此 ,吸引 了 不 少 研究 者 的 注意 。 

(1) 时 钟 同步 

传感器 网 络 中 的 通信 协议 和 应 用 ,比如 基于 TDMA 的 MAC 协议 和 敏感 时 间 的 监测 任 
务 等 ,要 求 节 点 间 的 时 钟 必须 保持 同步 。 在 文献 [109] 中 ,Elson 和 Estrin 给 出 了 一 种 简单 、 
实用 的 同步 策略 。 其 基本 思想 是 ,节点 以 自己 的 时 钟 记录 事件 ,随后 用 第 三 方 广播 的 基准 时 
间 加 以 校正 ,精度 依赖 于 对 这 段 间 隔 时 间 的 测量 。 这 种 同步 机 制 应 用 在 确定 来 自 不同 节 点 
的 监测 事件 的 先后 关系 时 有 足够 的 精度 。 设 计 高 精度 的 时 钟 同步 机 制 是 传 感 网 络 设 计 和 应 
用 中 的 一 个 技术 难点 。 我 们 认为 ,考虑 精简 NTP (network time protocol) 协 议 的 实现 复杂 
JE ,将 其 移植 到 传感器 网 络 中 应 该 是 一 个 有 价值 的 研究 课题 。 

(2) 定位 机 制 与 算法 

定位 是 大 多 数 应 用 ,特别 是 军事 应 用 的 基础 。 传 感 器 网 络 中 的 定位 机 制 与 算法 包括 两 
部 分 : 节点 自身 定位 和 外 部 目标 定位 ,前 者 是 后 者 的 基础 9 。 在 节点 自身 定位 方面 ， 
DARPA 支持 的 一 些 有 军事 应 用 背景 的 项 目 , 如 DSN (dynamic sensor network)" 和 
SCADDS (scalable coordination architecture for deeply distributed and dynamic system)" 


等 ,大 多 采用 GPS(global positioning system) 技 术 。 对 于 一 些 定位 精度 要 求 不 高 的 项 目 , 则 
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应 用 了 LPSCocal positioning system)? , h F GPS 不 适合 中 国 的 军事 国情 ,我 们 设想 了 一 种 
依赖 于 自己 技术 实现 传感器 网 络 中 节点 定位 的 机 制 ,如 图 4.7.5 所 示 。 在 “北斗 一 号 ”双星 定 
位 系统 的 支持 下 ,传感器 网 络 中 的 某 些 节点 就 可 以 找到 自己 的 精确 位 置 , 然 后 参照 此 基准 , 利 
用 局 部 定位 算法 ,其 他 节点 也 可 以 正确 定位 。 此 外 ,在 这 种 模式 下 ,北斗 一 号 ”的 上 行 数 据 通 
路 恰好 可 以 作为 传感器 网 络 的 sink 链 路 ,将 数据 回 传 给 控制 中 心 ,省 去 了 用 飞行 器 等 其 他 手段 
收集 数据 的 麻烦 。 确 定 了 节点 的 基准 位 置 ,利用 传统 的 定位 机 制 和 算法 ,如 接收 信号 的 强 弱 、 
角度 和 时 间 等 ,以 及 典型 的 三 角形 算法 ,就 可 以 定位 外 部 目标 ,这 是 相对 成 熟 的 技术 。 
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基站 
图 4.7.5 传感器 节点 定位 系统 原理 图 


4.7.2 无 线 传感器 网 络 密 包 管理 研究 现状 


无 线 传感器 网 络 WSN 集 微机 电 技术 、 传 感 器 技术 .通信 技术 于 一 体 , 可 广泛 应 用 于 教 
育 、 军 事 、 医 疗 、 交 通 等 诸多 领域 ,拥有 巨大 的 应 用 潜力 和 商业 价值 "5, 引起 了 国内 外 广 
泛 的 关注 和 研究 中。 安全 是 WSN 最 基本 的 一 项 服务 ,特别 是 当 WSN SERIE TEC A fih 
及 或 容易 受 损 或 被 俘获 的 环境 时 ,保证 WSN 的 安全 性 更 是 应 予以 优先 考虑 的 问题 20220 。 
以 提供 安全 可靠 的 保密 通信 为 目标 的 密 钥 管理 是 WSN 安全 研究 最 为 重要 、 最 为 基本 的 内 
容 , 有 效 的 密 钥 管理 机 制 也 是 其 他 安全 机 制 ,如 安全 路 由 565、 安全 定位 62 、 安 全 数据 融 
合 559 及 针对 特定 攻击 的 解决 方案 05 等 的 基础 。 

在 传统 网 络 中 , 密 钥 管理 的 研究 与 应 用 中 已 取得 许多 成 果 0D2 -22 。 但 是 因为 WSN 所 
固有 的 特点 ,使 得 这 些 研究 成 果 一 般 不 能 直接 应 用 于 WSN. BERME: DWSN 节点 资 
源 (包括 存储 容量 、 计 算 能 力 、 通 信和 带宽 和 距离 等 ) 受 到 更 加 严格 的 限制 。 例如, UCB 
(University of California at Berkeley) 研制 的 MICA2 mote"), 使 用 8 位 7. 3828 MHz 
ATmega 128L 处 理 器 ,SRAM 为 4 KB. ROM ¥ 128 KB, 通 信 频 率 为 916 MHz, 带 宽 为 
10 Kbps。 资 源 的 严格 受 限 使 得 传统 的 对 节点 计算 、 存 储 和 通信 开销 较 大 的 密 钥 管理 方案 或 
协议 无 法 应 用 于 WSN。 @ 一 般 而 言 ,WSN 没有 固定 的 基础 设施 支持 。 因 此 ,基于 在 线 的 密 
钥 分 配 中 心 (key distribution center, KDC) 的 密 钥 管理 方案 或 协议 中 无 法 应 用 于 WSN. 
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QT AA a SEA. WSN 节点 一 般 被 设计 为 无 特殊 物理 保护 的 、 容 易 受 到 物理 损坏 或 被 俘 
获 ,网 络 中 的 部 分 节点 处 于 非 正常 运行 状态 是 一 个 普遍 现象 ,一 些 状态 敏感 的 密 钥 管理 方案 
Bk IMO) BFC DY A WSN, 
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与 典型 网 络 一 样 ,WSN 密 钥 管理 必须 满足 可 用 性 Cavailability)、 完 整 性 (integrity)、 机 
密 性 (confidentiality)、 认 证 Cauthentication) 和 不 可 否认 (Cnon-reputation) 等 传统 的 安全 需 
DRO 。 此 外 ,根据 WSN 自身 的 特点 ,WSN 密 钥 管理 还 应 满足 如 下 一 些 性 能 评价 指标 : 

CD 可 扩展 性 (scalability)。WSN 的 节点 规模 少 则 十 几 个 或 几 十 个 ,多 则 成 千 上 万 。 
随 着 规模 的 扩大 , 密 钥 协商 所 需 的 计算 、 存 储 和 通信 开销 都 会 随 之 增 大 , 密 钥 管理 方案 和 协 
议 必须 能 够 适应 不 同 规模 的 WSN。 

(2) 有 效 性 (efficiency) 。 网 络 节点 的 存储 ` 处 理 和 通信 能 力 非 常 受 限 的 情况 必须 充分 
考虑 。 具 体 而 言 ,应 考虑 以 下 几 个 方面 :存储 复杂 度 (storage complexity), 用 于 保存 通信 密 
钥 的 存储 空间 使 用 情况 ;计算 复杂 度 (computation complexity) ,为 生成 通信 密 钥 而 必须 进 
行 的 计算 量 情况 ;通信 复杂 度 (communication complexity) ,在 通信 密 钥 生成 过 程 中 需要 传 
送 的 信息 量 情况 。 

(3) 密 钥 连接 性 (key connectivity) 。 节 点 之 间 直 接 建 立 通信 密 钥 的 概率 。 保 持 足 够 高 
的 密 钥 连接 概率 是 WSN 发 挥 其 应 有 功能 的 必要 条 件 。 需 要 强调 的 是 ,WSN 节点 几乎 不 可 
能 与 距离 较 远 的 其 他 节点 直接 通信 ,因此 并 不 需要 保证 某 一 节点 与 其 他 所 有 的 节点 保持 安 
全 连接 , 仅 需 确保 相 邻 节点 之 间 保 持 较 高 的 密 钥 连接 。 

(4) 抗 毁 性 (resilience) 。 抵 御 节点 受 损 的 能 力 。 也 就 是 说 ,存储 在 节点 的 或 在 链 路 交 
换 的 信息 未 给 其 他 链 路 暴露 任何 安全 方面 的 信息 。 抗 毁 性 可 表示 为 当 部 分 节点 受 损 后 ,未 
受 损 节点 的 密 钥 被 暴露 的 概率 。 抗 毁 性 越 好 ,意味 着 链 路 受 损 就 越 低 。 


4.7.4 无 线 传感器 网 络 密 包 管理 方案 和 协议 的 分 类 


近年 来 ,WSN 密 钥 管理 的 研究 已 经 取得 许多 进展 nH。 不 同 的 方案 和 协议 ,其 侧重 点 
也 有 所 不 同 。 下 面 我 们 依据 这 些 方案 和 协议 的 特点 进行 适当 的 分 类 。 


1. 对 称 密 钥 管理 与 非 对 称 密 钥 管理 

根据 所 使 用 的 密码 体制 ,WSN 密 钥 管理 可 分 为 对 称 密 钥 管理 和 非 对 称 密 钥 管理 两 类 。 
在 对 称 密 钥 管理 方面 ,通信 双方 使 用 相同 的 密 钥 和 加 密 算 法 对 数据 进行 加 密 、 解 密 , 对 称 密 
钥 管 理 具有 密 钥 长 度 不 长 ,计算 、 通 信和 存储 开销 相对 较 小 等 特点 ,比较 适用 于 WSN ,目前 
是 WSN 密 钥 管理 的 主流 研究 方向 。 在 非 对 称 密 钥 管理 方面 ,节点 拥有 不 同 的 加 密 和 解密 
密 钥 ,一 般 都 使 用 在 计算 意义 上 安全 的 加 密 算 法 。 非 对 称 密 钥 管理 由 于 对 节点 的 计算 、 存 
储 、 通 信 等 能 力 要 求 比较 高 , 曾 一 度 被 认为 不 适用 于 WSN, 但 一 些 研究 325 表明 , 非 对 称 
加 密 算 法 经 过 优化 后 能 够 适用 于 WSN。 从 安全 的 角度 来 看 , 非 对 称 密码 体制 的 安全 强度 在 
计算 意义 上 要 远 远 高 于 对 称 密码 体制 。 
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2. 分 布 式 密 钥 管 理 和 层次 式 密 钥 管理 

根据 网 络 的 结构 , WSN 密 钥 管理 可 分 为 分 布 式 密 钥 管理 和 层次 式 密 钥 管理 两 类 。 在 
分 布 式 密 钥 管理 "* tmp ,节点 具有 相同 的 通信 能 力 和 计算 能 力 。 节 点 密 钥 的 协商 ,更 新 通 
过 使 用 节点 预 分 配 的 密 钥 和 相互 协作 来 完成 。 而 在 层次 WSN BE OH uk 
划分 为 若干 徐 , 每 一 簇 有 一 个 能 力 较 强 的 簇 头 (cluster head)。 普 通 节点 的 密 钥 分 配 、 协 商 、 

分 布 式 密 钥 管理 的 特点 是 密 钥 协 商 通过 相 邻 节点 的 相互 协作 来 实现 ,具有 较 好 的 分 布 
特性 。 层 次 式 密 钥 管理 的 特点 是 对 普通 节点 的 计算 存储 能 力 要 求 低 , 但 篮 头 的 受 损 将 导致 
严重 的 安全 威胁 。 


3. 静态 密 钥 管理 与 动态 密 钥 管理 

根据 节点 在 部 署 之 后 密 钥 是 否 更 新 ,WSN 密 钥 管理 可 分 为 静态 密 钥 管理 和 动态 密 钥 
管理 两 类 "9 。 在 静态 密 钥 管 理 中 ,节点 在 部 署 前 预 分 配 一 定数 量 的 密 钥 ,部 署 后 通过 协商 
生成 通信 密 钥 ,通信 密 钥 在 整个 网 络 运行 期 内 不 考虑 密 钥 更 新 和 撤回 ; 而 在 动态 密 钥 管理 
中 , 密 钥 的 分 配 ,协商 、 撤 回 操作 周期 性 地 进行 。 

静态 密 钥 管理 的 特点 是 通信 密 钥 无 需 频繁 更 新 ,不 会 导致 更 多 的 计算 和 通信 开销 ,但 不 
排除 受 损 节点 继续 参与 网 络 操作 。 若 存在 受 损 节 点 , 则 对 网 络 具 有 安全 威胁 。 动 态 密 钥 管 
理 的 特点 是 可 以 使 节点 通信 密 钥 处 于 动态 更 新 状态 ,攻击 者 很 难 通过 俘获 节点 来 获取 实时 
的 密 钥 信 息 ,但 密 钥 的 动态 分 配 ,协商 .更 新 和 撤回 操作 将 导致 较 大 的 通信 和 计算 开销 。 


4. 随机 密 钥 管 理 与 确定 密 钥 管理 

根据 节点 的 密 钥 分 配方 法 区 分 , WSN 密 钥 管理 可 分 为 随机 密 钥 管理 与 确定 密 钥 管理 
两 种 。 在 随机 密 钥 管理 中 ,节点 的 密 钥 环 通过 随机 方式 获取 ,比如 从 一 个 大 密 钥 池 里 随机 选 
取 一 部 分 密 钥 555 ,或 从 多 个 密 钥 空间 里 随机 选取 若干 个 2] 。 而 在 确定 性 密 钥 管理 中 , 密 
钥 环 是 以 确定 的 方式 获取 的 ,比如 ,使 用 地 理 信息 "5 ,或 使 用 对 称 BIBD (balanced 
incomplete block design) *9 、 对 称 多 项 式 049 等 。 从 连通 概率 的 角度 来 看 ,随机 密 钥 管理 的 
密 钥 连通 概率 介 于 0 和 1 之 间 ,而 确定 密 钥 管理 的 连通 概率 总 为 1 。 

随机 性 密 钥 管理 的 优点 是 密 钥 分 配 简便 ,节点 的 部 署 方式 不 受 限 制 ;其 缺点 是 , 密 钥 的 
分 配 具 有 盲目 性 ,节点 可 能 存储 一 些 无 用 的 密 钥 而 浪费 存储 空间 。 确 定性 密 钥 管理 的 优点 
是 密 钥 的 分 配 具 有 较 强 的 针对 性 ,节点 的 存储 空间 利用 得 较 好 ,任意 两 个 节点 可 以 直接 建立 
通信 密 钥 ;其 缺点 是 ,特殊 的 部 署 方 式 会 降低 灵活 性 ,或 密 钥 协商 的 计算 和 通信 开销 较 大 。 


4.7.5 典型 的 无 线 传感器 网 络 密 钥 管理 的 方案 和 协议 


47541 Eschenauer 随机 密 钥 预 分 配方 案 ' 外 


Eschenauer 和 Gligor Æ WSN 中 最 先 提 出 随机 密 钥 预 分 配方 案 ( 简 称 E-G 方案 )。 该 
方案 由 3 个 阶段 组 成 。 第 1 阶段 为 密 钥 预 分 配 阶 段 。 部 署 前 ,部 署 服务 器 首先 生成 一 个 密 
钥 总 数 为 已 的 大 密 钥 池 及 密 钥 标识 ,每 一 节点 从 密 钥 池 里 随机 选取 Ce PO T f I] E H 
这 种 随机 预 分 配方 式 使 得 任意 两 个 节点 能 够 以 一 定 的 概率 存在 着 共享 密 钥 。 第 2 阶段 为 共 
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享 密 钥 发 现 阶段 。 随 机 部 署 后 ,两 个 相 邻 节点 若 存在 共享 密 钥 ,就 随机 选取 其 中 的 一 个 作为 
双方 的 配对 密 钥 (pair- wise key) ;否则 ,进入 到 第 3 阶段 。 第 3 阶段 为 密 钥 路 径 建 立 阶段 ， 
节点 通过 与 其 他 存在 共享 密 钥 的 邻居 节点 经 过 若干 跳 后 建立 双方 的 一 条 密 钥 路 径 。 

根据 经 典 的 随机 图 理论 59 ,节点 的 度 d 与 网 络 节点 总 数 ， 存 在 以 下 关系 ， 


den du tne aP 


n 


其 中 ,P, ye ET E.R 30] 78 1 BOW! Or <n) UP A AB A SE — 


个 密 钥 的 概率 p—. 在 给 定 p' 的 情况 下 ,P 和 k 之 间 的 关系 可 以 表示 如 下 : 
,_ (€P—Dp: 
bp 1 BoE IPI 


E-G 方案 在 以 下 3 个 方面 满足 和 符合 WSN 的 特点 : 一 是 节点 仅 存储 少量 密 钥 就 可 以 
使 网 络 获得 较 高 的 安全 连通 概率 ,例如 ,要 保证 节点 数 为 10 000 的 WSN 几乎 保持 全 连通 ， 
每 个 节点 仅 需 从 密 钥 总 数 为 100 000 的 密 钥 池 随 机 选取 250 个 密 钥 即 可 满足 要 求 ; 二 是 密 
钥 预 分 配 时 不 需要 节点 的 任何 先 验 信息 (如 节点 的 位 置信 息 、 连 通关 系 等 ); 三 是 部 署 后 节 
点 间 的 密 钥 协商 无 需 sink 的 参与 ,使 得 密 钥 管理 具有 良好 的 分 布 特性 。 


4752 对 EG 方 案 的 几 种 改进 


E-G 方案 的 密 钥 随 机 预 分 配 思想 为 WSN 密 钥 预 分 配 策略 提供 了 一 种 可 行 的 思路 ,后 
续 许 多 方案 和 协议 都 在 此 框架 基础 上 发 展 而 来 。 它 们 分 别 从 共享 密 钥 阔 值 . 密 钥 池 结构 、 密 
钥 预 分 配 策略 、 密 钥 路 径 建立 方法 等 方面 提高 随机 密 钥 预 分 配方 案 的 性 能 。 


1. q-composite 随机 密 钥 预 分 配方 案 529 

在 Chan 提出 的 g-composite 随机 密 钥 预 分 配方 案 (简称 q-composite 方案 ) 中 ,节点 从 
密 钥 总 数 为 |S| 的 密 钥 池 里 预 随 机 选取 m 个 不 同 的 密 钥 ,部 署 后 两 个 相 邻 节点 至 少 需要 共 
EE qg 个 密 钥 才 能 直接 建立 配对 密 钥 。 若 共享 的 密 钥 数 为 aq) , 则 可 使 用 单 向 散 列 函数 建 
立 配对 密 钥 K — hashGe || ke ll … | k,)( 密 钥 序 列 号 事先 约定 )。 

随 着 共享 密 钥 阔 值 的 增 大 ,攻击 者 能 够 破坏 安全 链 路 的 难度 呈 指 数 增 大 ,但 同时 对 节点 
的 存储 空间 需求 也 增 大 。 因 此 , 阅 值 g 的 选取 是 该 方案 需要 着 重 考虑 的 一 个 因素 。 实 验 表 
明 , 当 网 络 中 的 受 损 节 点 数量 较 少时 ,该 方案 的 抗 毁 性 比 E-G 方案 要 好 ,但 随 着 受 损 节点 数 
量 的 增多 ,该 方案 变 得 比较 差 。 


2. 多 密 钥 空间 随机 密 钥 预 分 配方 案 0”” 

Blom 单 密 钥 空间 方案 中 使 得 网 络 中 的 任意 两 个 节点 都 能 够 直接 建立 配对 密 钥 ,并 且 
确保 在 受 损 节 点 数 不 超过 阔 值 时 ,网 络 不 会 泄露 任何 机 密 信息 。Dnu 将 其 扩展 为 多 密 钥 空间 
随机 密 钥 预 分 配方 案 5?5 。 网 络 节点 总 数 为 N ,部 署 前 ,部 署 服 务 器 在 有 限 域 GF(g)(g 为 足 
够 大 的 素数 ) 上 生成 一 个 4 十 1) XN WAFER GG 满足 任意 4 十 1 列 线性 不 相关 ) 和 co 个 
Q 十 1) X (CA 十 1) 的 对 称 机 密 和 矩阵 Di ,D;,…,D, ,每 一 对 (D;,G);-1,2,…,。 称 为 一 个 密 钥 空间 。 
部 署 服务 器 分 别 计算 A; 王 (D;XG)'。 每 一 节点 随机 选取 zt 个 (2 三 t 二 w) 密 钥 空 间 , 对 于 被 
节点 了 选中 的 矩阵 D;,j 保存 矩阵 A; 的 第 j 行 元 素 , 这 些 行 元 素 信息 是 机 密 的 ,不 公开 , 节 
点 同时 也 保存 矩阵 G 第 j 列 相应 的 种 子 值 ( 仅 保留 种 子 值 是 出 于 节约 存储 空间 的 考虑 )。 部 
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署 后 ,车 任意 两 个 相 邻 节点 共享 一 个 密 钥 空间 ,就 可 以 利用 和 矩阵 A; 的 对 称 性 直接 建立 配对 
密 钥 。 配 对 密 钥 的 生成 如 图 4. 7.6 所 示 。 


A=(D:G)" G 


Atl 


图 4.7.6 生成 配对 密 钥 


只 要 选择 合适 的 w 和 z 就 能 够 提高 密 钥 空间 不 被 暴露 的 概率 。 实 验 表明 ,要 使 10% 的 
安全 链 路 受 损 ,E-G 方案 和 q- composite 方案 就 必须 俘获 比 该 方案 5 倍 多 数量 的 节点 。 方 
案 的 缺点 是 计算 开销 较 大 。 与 Blom 方案 相 比 ,该 方案 虽然 降低 了 密 钥 连 通 概率 ,但 却 提高 
了 网 络 密 钥 连通 的 抗 毁 性 。 


3. 对 称 多 项 式 随机 密 钥 预 分 配方 案 "” 
Blundo 方案 0 中 使 用 对 称 二 元 多 项 式 的 性 质 ( fey) = X ary B. fxs 一 (ys) 为 


网 络 中 的 任意 两 个 节点 建立 配对 密 钥 。Liu 在 此 基础 上 提出 了 基于 多 个 对 称 二 元 多 项 式 的 
随机 密 钥 预 分 配方 案 559 。 部 署 前 ,部 署 服务 器 在 有 限 域 F, 上 随机 生成 ;个 1 阶 对 称 二 元 
多 项 式 { fi;(zx,y)) ;=1,2.…s; 然 后 ,每 一 节点 随机 选取 个 多 项 式 共 享 。 部署 后 , 相 邻 节点 若 
有 相同 的 多 项 式 共 享 , 则 直接 建立 配对 密 钥 。 

实验 表明 , 当 受 损 节 点 数 较 少 时 ,该 方案 的 抗 毁 性 比 E-G 方案 和 q- composite 方案 要 
好 ,但 当 受 损 节 点 超过 一 定 闽 值 时 (如 60% 节 点 受 损 ) ,该 方案 的 安全 链 路 受 损 数量 则 超过 
上 述 两 个 方案 。 

4. 基于 地 理 信息 或 部 署 信息 的 随机 密 钥 预 分 配方 案 52? -20 

在 一 些 特殊 的 应 用 中 ,节点 的 位 置信 息 或 部 署 信息 可 以 预先 大 概 估计 并 用 于 密 钥 管 理 。 
Liu 在 静态 WSN 里 建立 了 基于 地 理 信 息 的 最 靠近 配对 密 钥 (closest pairwise keys scheme, 
CPKS)J; EU? 。 部 署 前 ,每 个 节点 随机 与 最 靠近 自己 期 望 位置 的 c 个 节点 建立 配对 密 钥 。 例 
如 ,对 于 节点 zx 的 邻居 节点 w, 部 署 服务 器 随机 生成 配对 密 钥 kuo o RIA IE COs kuo) FI Qu kuv) OP 
别 分 配给 u 和 uv。 部 署 后 , 相 邻 节点 通过 交换 节点 标识 符 确定 双方 是 否 存在 配对 密 钥 。 

CPKS 方案 的 优点 是 ,每 个 节点 仅 与 有 限 个 相 邻 节点 建立 配对 密 钥 , 网络 规模 不 受 限 
制 ;配对 密 钥 与 位 置信 息 绑 定 ,任何 节点 的 受 损 不 会 影响 其 他 节点 的 安全 。 缺 点 是 密 钥 连通 
概率 的 提高 仅 能 通过 分 配 更 多 的 配对 密 钥 来 实现 ,受到 一 定 的 限制 。 

针对 上 述 问题 , Liu 提出 了 使 用 基于 地 理 信息 的 对 称 二 元 多 项 式 随机 密 钥 预 分 配 忆 29 
(location-based key predistribution,LBKP) 方 案 。 该 方案 把 部 署 目标 区 域 划分 为 若干 个 大 
小 一 致 的 正方 形 区 域 。 部 署 前 ,部 署 服务 器 生成 与 区 域 数量 相等 的 对 称 上 阶 二 元 多 项 式 ,并 
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为 每 一 区 域 指定 唯一 的 二 元 多 项 式 。 对 于 每 一 节点 ,根据 其 期 望 位 置 来 确定 其 所 处 区 域 , 部 
署 服务 器 把 与 该 区 域 相 邻 的 上 、 下 、 左 、 右 4 个 区 域 以 及 节点 所 在 的 区 域 共 5 个 二 元 多 项 式 
共享 载 人 该 节点 。 部 署 后 ,两 个 节点 若 共享 至 少 1 个 二 元 多 项 式 共 享 就 可 以 直接 建立 配对 
密 钥 。 该 方案 通过 调整 区 域 的 大 小 来 解决 CPKS 方案 存在 的 连通 概率 受 限 的 问题 。 与 E-G 
方案 和 q-composite 方案 甚至 Blundo 方案 相 比 ,LBKP 方案 的 抗 毁 性 明显 提高 ,但 缺点 是 计 
算 和 通信 开销 过 大 。 

在 基于 部 署 知识 的 随机 密 钥 预 分 配方 案 " 外 中 ,假定 网 络 的 部 署 目 标 区 域 是 一 个 二 维 
矩形 区 域 且 节点 部 署 服从 Gaussian 分 布 。 节 点 被 划分 为 +: Xn 个 部 署 组 ,每 个 组 Gi,; (i 二 
1,2,… ,Lj 二 1,2,…,n) 的 部 署 位 置 组 成 一 个 栅 格 。 密 钥 池 ( 密 钥 数 为 |S|) 被 划分 成 若干 个 
子 密 钥 池 ( 密 钥 数 为 | S.| ) ,每 个 子 密 钥 池 对 应 于 一 个 部 署 组 。 若 两 个 子 密 钥 池 是 水 平 或 垂 
直 相 邻 , 则 至 少 共享 <| S.| 个 密 钥 ; 若 两 个 子 密 钥 池 是 对 角 相 邻 , 则 至 少 共 享 01S. | EH Ca sb 
满足 以 下 关系 :0<a,p<<0,25 H 4a 十 40 王 1) 。 若 两 个 子 密 
钥 池 不 相 邻 , 则 没有 共享 密 钥 。 如 图 4.7.7 BER. AIS 

对 于 组 内 每 一 节点 ,从 对 应 的 子 密 钥 池 随 机 取 mm 个 不 | 


同 的 密 钥 。 部 署 后 , 若 相 邻 节点 存在 共享 密 钥 , 则 可 以 直接 aS. JE a|S.| 


建立 配对 密 钥 。 实 验 表 明 , 在 同等 条 件 下 ,该 方案 提高 了 节 UE 
点 的 连通 概率 。 例 如 , 当 节点 预 分 配 的 密 钥 数 为 100 时 ， 中 Se| 
E-G 方 案 的 节点 连通 概率 仅 为 0. 095, 而 该 方案 能 够 达 
到 0. 687。 使 用 部 署 知识 使 得 节点 减少 了 预 分 配 无 用 密 钥 。 图 4.7.7 相 邻 密 钥 池 之 间 
的 数量 ,提高 了 网 络 抗 毁 性 。 但 该 方案 的 子 密 钥 池 的 划分 的 共享 密 钥 数 
需要 慎重 考虑 。 

尽管 Liu? 和 Duc 都 在 密 钥 预 分 配 时 使 用 节点 的 位 置信 息 以 提高 抗 席 性 ,但 存在 着 
攻击 者 容易 对 节点 进行 定位 后 俘获 以 及 节点 因 缺 乏 认证 机 制 而 被 伪造 等 问题 。 针 对 上 述 问 
题 , Huang 的 栅 格 组 部 署 方案 55 使 用 限制 组 的 节点 数量 . 设 定 密 钥 空间 被 选中 的 阔 值 等 方 
法 提出 了 解决 方案 。 


5. 多 路 径 密 钥 增强 方案 

在 E-G 方案 里 ,两 个 相 邻 节 点 A 和 B 所 被 分 配 的 密 钥 有 可 能 被 分 配给 其 他 节点 , 若 这 
些 节点 受 损 , 则 A 和 B 之 间 的 链 路 会 受到 安全 威胁 。Chan 提出 了 多 路 径 密 钥 增强 方案 。 
假设 A 和 B 经 过 密 钥 协商 后 存在 着 7 条 不 相交 的 路 径 ,A 产生 j 个 随机 值 v1 ,vs，,… uy s 
后 通过 j 条 不 相交 的 路 径 发 送 给 BB,B 接收 到 这 j 个 随机 值 后 ,生成 新 的 配对 密 钥 K=O 
vs 中 … 旬 v;。 攻 击 者 若 不 能 获取 全 部 的 j 个 随机 值 , 则 不 能 破译 配对 密 钥 KK。 该 方案 
若 与 E-G 方案 或 其 他 随机 密 钥 管理 方案 结合 使 用 , 则 能 够 显著 提高 相应 方案 的 安全 性 能 。 
但 该 方案 的 缺点 是 ,如 何 建立 和 能 否 建立 足够 数量 的 不 相交 路 径 在 目前 尚 属于 NP 问题 。 
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建立 栅 格 的 方法 如 下 : 根据 网 络 中 的 节点 总 数 N 构造 mXm 个 栅 格 ,其 中 ,m=|VN |。 
在 Liu 提出 的 GBKP(grid-based key predistribution) Jy RU 里 ,部 署 前 ,部 署 服务 器 生成 
2m 个 多 项 式 , 栅 格 的 每 一 行 对 应 于 唯一 的 一 个 多 项 式 , 每 一 列 对 应 于 另 一 个 唯一 的 多 项 
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式 。 部 署 服务 器 把 节点 逐一 对 应 于 各 栅 格 的 汇合 点 ,并 把 对 应 的 多 项 式 共享 和 标识 符 配置 
给 该 节点 ,如 图 4.7.8(a) 所 示 ; 部 署 后 ,同一 行 或 列 的 节点 可 以 直接 建立 配对 密 钥 ,不 同行 
列 的 节点 通过 中 间 节 点 建立 密 钥 路 径 。 而 在 Chan 提出 的 PIKE (peer intermediaries for 
key establishment) 方 案 中 里 ,节点 按照 栅 格 的 行列 号 编号 ,部 署 前 ,每 一 节点 都 与 同一 行列 共 
2CVN 一 1) 个 其 他 节点 建立 配对 密 钥 ,然后 节点 按照 序列 号 顺序 进行 部 署 , 如 图 4. 7. 8(b) 所 
示 ; 部 署 后 ,同一 行 或 列 的 节点 直接 拥有 配对 密 钥 ,不 同行 列 的 节点 则 通过 公共 行列 的 节点 
建立 密 钥 路 径 。 


Sy 0) | | | f 0001 02 03 04 05 06 07 08 09 

gay) | | | | 101 12131415 16171819 

: 2021 2223 24 25 2626 2829 

r | | | | 3031 323334 35 3637 3839 

aa el | | 

so T] [Tt 

fi) f 1 t Dp 

fa 05) FEY) FS G5) CD) CD) 9091 92939495 96 97 98 99 

(a) GBKP 方案 (b) PIKE 方案 


图 4.7.8 基于 栅 格 的 密 钥 预 分 配 


GBKP 方案 和 PIKE 方案 都 保证 任意 两 个 节点 能 够 建立 配对 密 钥 ,与 节点 密度 无 关 , 且 
能 够 显著 降低 节点 的 通信 和 存储 开销 。 但 其 缺点 是 部 署 方式 固定 ,不 够 灵活 ,中 间 节 点 的 受 
损 会 影响 整个 网 络 的 安全 。 


4754 基于 组 合 论 的 密 钥 预 分 配方 案 -人 


Camtepe 把 组 合 设计 理论 (combinatorial design theory) 用 于 设计 WSN 确定 密 钥 预 分 
配方 案 上 。 假 设 网 络 的 节点 总 数 为 N ,用 妈 阶 有 限 射影 空间 (finite projective plane) G 为 满 
足 好 十 ?十 1 过 的 素数 ) 生 成 一 个 参数 为 ( 姑 十 2 十 1,2 十 1,1) 的 对 称 BIBD, 支 持 的 网 络 节 
点 数 为 好 十 2 十 1, 密 钥 池 的 大 小 为 妇 十 2 十 1, 能 够 生成 好 十 2 十 1 个 大 小 为 2 十 1 的 密 钥 环 ， 
任意 两 个 密 钥 环 至 少 存在 1 个 公共 密 钥 ,并 且 每 一 密 钥 出 现在 ”十 1 个 密 钥 环 里 。 可 见 , 任 
意 两 个 节点 的 密 钥 连通 概率 为 1。 但 素数 n 不 能 支持 任意 的 网 络 规模 。 例 如 , 当 N>n +n 
十 1 时 ,n 必须 是 下 一 个 新 的 素数 ,而 过 大 的 素数 则 会 导致 密 钥 环 急剧 增 大 ,突破 节点 的 存 
储 空间 而 不 适用 于 WSN。 使 用 广义 四 角形 (generalized quadrangles,GQ) 可 以 更 好 地 支持 
网 络 规模 ,如 GQOi 0 ,GQ(n,) 和 GQ(n?,m) 分 别 支持 的 网 络 规模 达 OG) .O GP 
OG?) ,但 也 存在 着 素数 n 不 容易 生成 的 问题 。 

为 此 ,Camtepe 提出 了 对 称 BIBD 与 GQ 相 结合 的 混合 密 钥 预 分 配方 案 : 使 用 对 称 
BIBD 或 GQ 生成 2 个 (2 值 大 小 由 BIBD 或 GQ 决定 ,5"<N) 密 钥 环 ,然后 使 用 对 称 BIBD 或 
GQ 的 补 集 设 计 (complementary design) 随 机 生成 N—b 个 密 钥 环 ,与 前 面 生成 的 2 个 密 钥 
环 一 起 组 成 N 个 密 钥 环 。 这 种 混合 的 密 钥 预 分 配方 案 提 高 了 网 络 可 扩展 性 和 抗 毁 性 ,但 不 
保证 节点 的 密 钥 连通 概率 为 1。 无论 是 对 称 BIBD、GQ 还 是 混合 方案 ,都 有 比 E-G 方案 更 


218; 网 络 安全 控制 机 制 


高 的 密 钥 连通 概率 ,平均 密 钥 路 径 长 度 也 更 短 。 
4755 SPINS 协议 "多 和 LEAP 协议 "9 


Perrig 利用 sink 作为 网 络 的 可 信和 密 钥 分 发 中 心 为 网 络 节点 建立 配对 密 钥 及 实现 对 广 
播 数 据 包 的 认证 。SPINS (security protocols for sensor networks) B) iX ri Wi 2p 4) 28 JX : 
SNEP(secure network encryption protocol) 和 ATESLA (timed efficient stream loss- 
tolerant authentication), SNEP 主要 通过 使 用 计数 器 (counter), 消息 认证 码 MAC 
(message authentication code) 等 机 制 来 实现 数据 的 机 密 性 及 数据 认证 。 通 信 双 方 的 配对 
密 钥 及 MAC 密 钥 都 通过 使 用 从 sink 获取 的 主 密 钥 及 伪 随机 函数 生成 。SNEP 使 得 协议 达 
到 语义 级 安全 (相同 的 明文 在 不 同 的 时 段 加 密 , 其 密 文 不 相同 ) ,保证 了 数据 的 鲜 活 性 ;MAC 
密 钥 长 度 固定 , 仅 为 8 字 节 ,不 增加 过 多 的 通信 和 负载 。 

ATESLA 实现 对 广播 数据 的 认证 。sink 首先 使 用 单 向 散 列 函数 H 生成 一 个 单 向 密 钥 
BEUKo ,Ki,…,K,) ,其 中 , KSH (Ka) h Kia RADIA K; in K: 则 无 法 计算 
得 到 ;1 。 网 络 运行 时 间 分 为 若干 个 时 间 槽 (slot) ,在 每 一 个 时 间 覃 使 用 密 钥 链 里 对 应 的 
一 个 密 钥 。 在 第 ;个 时 间 模 里 ,sink 发 送 认 证 数据 包 , 然 后 延迟 一 个 时 间 0 后 公布 密 钥 天 ，。 
节点 接收 到 该 数据 包 后 首先 保存 在 缓冲 区 里 ,并 等 待 接收 到 最 新 公布 的 密 钥 K; ,然后 使 用 
其 目前 保存 的 密 钥 K,, 并 使 用 Ki = H^" CK, OR EK; 是 否 合法 , 若 合 法 , 则 使 用 K: 
认证 缓冲 区 里 的 数据 包 。 

ATESLA 工作 示意 图 如 图 4.7.9 所 示 。 在 
ATESLA 里 ,攻击 者 很 难 获取 或 伪造 最 新 的 认 | | - 
证 密 钥 。 因 此 ,yxTESLA 提供 了 良好 的 广播 认 | ! 

证 机 制 。 但 密 钥 延迟 暴露 和 非 实时 认证 的 问 AP [Pal PAPS Fem 
题 ,使 其 很 容易 受到 DoS 攻击 。 针 对 这 些 问题 ， 
Liu 分 别提 出 了 使 用 多 级 TESLA") 和 图 4.7.9 ATESLA fis di poe C9 
Merkle 散 列 树 55 的 解决 方法 。 

在 SPINS 协议 里 ,任何 节点 的 配对 密 钥 生 成 数据 包 认 证 都 必须 通过 sink 来 完成 。 一 
FL sink 受 损 , 则 整个 网 络 的 安全 都 受到 威胁 。 而 且 sink 开销 过 大 ,SPINS 协议 仅 适用 于 规 
模 较 小 的 网 络 。 

Zhu 认为 ,任何 一 种 单一 的 密 钥 机 制 都 不 可 能 实现 WSN 所 需 的 安全 通信 ,因此 提出 
LEAP(localized encryption and authentication protocol) Bit"! ,建立 了 4 种 类 型 的 密 钥 : 
个 体 密 钥 .配对 密 钥 .组 密 钥 和 艇 密 钥 。 个 体 密 钥 为 节点 与 sink 共享 的 密 钥 ,由 节点 在 部 署 
前 通过 预 分 配 的 主 密 钥 和 伪 随 机 函数 来 生成 。 若 两 个 相 邻 节点 要 生成 配对 密 钥 , 则 通过 交 
换 其 标识 符 及 使 用 预 分 配 的 主 密 钥 和 单 向 散 列 函数 计算 得 到 。 若 节点 作为 复 头 要 建立 与 其 
邻居 节点 共享 的 簇 密 钥 , 则 产生 一 个 随机 密 钥 作 为 徐 密 钥 , 然 后 使 用 与 邻居 节点 的 配对 密 钥 
逐一 地 对 簇 密 钥 加 密 后 发 送 给 对 应 节点 ,邻居 节点 把 簇 密 钥 解密 后 保存 下 来 。 组 密 钥 为 
sink 与 所 有 节点 共享 的 通信 密 钥 。sink 首先 把 组 密 钥 使 用 与 其 子 节点 共享 的 簇 密 钥 加 密 
后 广播 给 子 节点 , 子 节点 获取 最 新 的 组 密 钥 后 ,用 与 其 下 一 级 子 节点 共享 的 簇 密 钥 加 密 组 密 
钥 后 广播 给 其 子 节点 。 依 此 类 推 ,直到 所 有 节点 都 获取 最 新 的 组 密 钥 为 止 。 

LEAP 协议 的 优点 是 任何 节点 的 受 损 都 不 会 影响 其 他 节点 的 安全 ,缺点 是 节点 部 署 后 ， 
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在 一 个 特定 的 时 间 内 必须 保留 全 网 通用 的 主 密 钥 。 若 主 密 钥 一 旦 被 暴露 , 则 整个 网 络 的 安 
全 都 受到 威胁 。 


4756 基于 EBS 的 动态 密 钥 管理 方案 -所 


EBS(exclusion basis systems) 由 Eltoweissy 提出 ,主要 用 于 密 钥 动态 管理 050 。EBS 
为 一 个 三 元 组 (2,A,m) 表 示 的 集合 卫 , 其 中 ,为 组 的 用 户 数 ,A 为 节点 存储 的 密 钥 数 ,m 为 
密 钥 更 新 的 信息 数 。 对 于 任 一 整数 (用 户 ):E[1,n], 具 有 以 下 属性 : Oren MEL H k 
个 子 集 ( 密 钥 ) 里 ,表示 任 一 用 户 最 多 拥有 个 密 钥 ; QUE m 个子 集 ( 密 钥 ) ,Al ,As,… An W 


足 C) A = Don] — (0), 表示 使 用 六 个 与 + 无关 的 密 钥 更 新 信息 可 撤回 用 户 1。 


Younis 在 层次 式 WSN 里 提出 基于 位 置信 息 的 EBS 动态 密 钥 管理 方案 SHELL 
(scalable, hierarchical. efficient. location-aware, and light-weight)", E SHELL 方案 
里 ,普通 节点 按照 其 地 理 位 置 被 划分 为 若干 簇 ,由 簇 头 ,或 称 为 网 关 (gateway) 节 点 来 控制 。 
网 关节 点 有 可 能 被 命令 节点 指定 为 其 他 簇 的 密 钥 生 成 网 关节 点 (key generating gateway). 
它 并 不 存储 和 生成 自己 篮 里 各 节点 的 管理 密 钥 。 根 据 簇 数 和 节点 的 存储 容量 ,得 C, 的 网 关 
节点 G cn Li Md FH TE I X [e 1s AE Jl, TE f HY (n k s m) —— EBS 和 矩阵 ,并 把 矩阵 的 相关 部 分 内 
容 分 别 发送 给 该 簇 的 密 钥 生成 网 关节 点 Gx, Li TI Gx, [ 门 等 。 密 钥 生 成 网 关节 点 根据 EBS 
矩阵 的 内 容 生 成 相应 的 管理 密 钥 ,并 通过 网 关节 点 Geu [站 广播 给 簇 内 各 节点 。 为 了 避免 串 
谋 攻击 , 相 邻 节点 管理 密 钥 的 汉 明 距 (Hamming distance) 设 计 为 最 小 。 

SHELL 定期 更 新 密 钥 。 当 需要 更 新 密 钥 时 ,由 簇 头 首先 把 最 新 的 通信 和 密 钥 发 送 给 密 
钥 网 关 生 成 节点 ,然后 由 密 钥 网 关 生 成 节点 生成 新 的 管理 密 钥 , 青 通过 簇 头 发 送 给 簇 内 各 节 
点 ,如 图 4.7.10(a) 所 示 。 

当 新 的 节点 加 入 时 ,首先 根据 其 地 理 位 置 确认 加 入 所 在 簇 ,并 通过 命令 节点 认证 其 身 
份 , 然 后 由 簇 头 与 密 钥 生成 网 关节 点 协调 启动 管理 密 钥 生成 进程 ,如 图 4.7.10(b) 所 示 。 当 
要 撤回 受 损 的 节点 时 ,若是 簇 头 受 损 , 则 可 以 采取 指定 新 的 簇 头 或 把 簇 内 节点 重新 分 配 到 其 
他 正常 的 簇 内 等 方法 ;若是 普通 节点 受 损 , 簇 头 把 受 损 节点 信息 通知 密 钥 生成 网 关节 点 , 然 
后 由 密 钥 网 关 生 成 节点 利用 EBS 的 性 质 生 成 新 的 管理 密 钥 , 并 通过 簇 头 广 播发 送 给 簇 内 节 
点 , 受 损 节点 由 于 无 法 解密 广播 数据 包 而 无 法 获取 新 的 管理 密 钥 , 如 图 4.7.10(c) 所 示 。 

与 随机 密 钥 分 配方 案 相 比 ,SHELL 明显 增强 了 抗 串 谋 攻 击 的 能 力 。 例 如 , 当 A 一 4,7 一 
200 时 , 若 要 发 起 串 谋 攻 击 , 则 在 SHELL 里 需要 使 11 个 节点 受 损 , 而 在 随机 密 钥 分 配方 案 
时 仅 需 3 个 节点 受 损 。 但 在 SHELL 里 由 密 钥 网 关 生 成 节点 存储 相应 簇 的 节点 密 钥 ,这 意 
味 着 , 密 钥 网 关 生 成 节点 受 损 数量 越 多 ,网 络 机 密 信息 暴露 的 可 能 性 就 越 大 。 针 对 SHELL 
的 缺点 ,Eltoweissy 提出 了 LOCK (localized combinatorial keying) 7; 8&7 。 该 方案 使 用 两 
层 EBS 管理 密 钥 对 基站 、 簇 头 和 普通 节点 的 密 钥 分 配 、 更 新 .撤回 进行 管理 ,使 得 簇 头 的 受 
损 不 会 暴露 更 多 机 密 信息 。 


4757 对称 与 非 对 称 混合 密 钥 管 理 协议 


在 基于 证 书 密码 体制 CBC (certificate-based cryptography) 的 PKC (public key 
cryptography) 涉 及 的 一 个 基本 问题 是 公 钥 的 认证 , 即 在 使 用 对 方 节点 的 公 钥 加 密 时 ,必须 


认证 新 节点 S 


为 5 分 配 管理 密 钥 ， 
并 用 KScu G) FI KS a GS) 
加 密 


包含 通信 密 钥 的 多 个 消息 ,每 个 
消息 用 不 同 的 管理 密 钥 加 密 
(a) 密 钥 更 新 (b) 节点 的 加 入 


为 S 分 配 管理 密 钥 ,并 用 KSkey(S) WME 


o 
加 密 新 的 管理 和 通 
信 密 钥 , 使 S 无 法 
解密 


o qm 
Ma 


用 当前 密 钥 加 密 新 的 管理 密 钥 
并 分 发 到 簇 内 节 


Kc) 受 损 节点 的 撤回 
图 4.7.10 密 钥 更 新 .节点 的 加 入 与 受 损 节 点 的 撤回 


先 对 公 钥 进行 认证 。Huang 提出 使 用 椭圆 曲线 密码 体制 ECC (elliptic curve cryptography) 
与 对 称 密 钥 的 混合 密 钥 管理 协议 "9 来 解决 异 构 节点 之 间 的 公 钥 认证 问题 。 

在 异 构 WSN 里 ,FFD(full-functional devices) 被 认为 具有 较 强 的 计算 和 通信 能力 ,而 
RFD(reduced-functional devices) 的 能 力 则 比较 受 限 。 部 署 前 ,首先 通过 有 限 域 GF(g) 上 的 
一 条 椭圆 曲线 及 相关 信息 生成 隐 式 证 书 (implicit certificate) 和 FFD WA, RFD 节点 各 自 的 
公 / 私 密 钥 。 部 署 后 ,FFD 节点 和 RED 节点 通过 对 方 的 隐 式 证 书 获取 相应 的 公 钥 ,然后 各 
自 随机 生成 链 路 密 钥 的 基 值 ,并 使 用 对 方 公 钥 加 密 后 发 送 给 对 方 。 若 双方 的 链 路 密 钥 基 值 
都 得 到 验证 , 则 与 标识 符 ID 一 起 共同 协商 生成 链 路 密 钥 ,FFD 节点 与 RFD 节点 就 使 用 生 
成 的 链 路 密 钥 进行 安全 通信 。 在 该 方案 中 ,FFD 节点 和 RED 节点 都 提供 链 路 密 钥 的 基 值 ， 
但 最 终 链 路 密 钥 是 通过 密 钥 派生 函数 生成 的 .因此 ,FFD 节点 和 RFD 节点 都 不 能 完全 控制 
对 链 路 密 钥 的 选择 ,攻击 者 为 了 获取 私 钥 所 付出 的 代价 比 解决 椭圆 曲线 的 离散 对 数 问题 
(discrete logarithm problem,DLP) 所 付出 的 代价 还 要 大 。 该 协议 提供 了 隐 式 和 显 式 的 密 钥 
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验证 ,这 样 就 能 确保 只 要 在 运行 期 间 不 出 错 , 双 方 接收 到 的 信息 都 是 正确 的 。 

该 协议 把 ECC 所 产生 的 计算 开销 大 都 集中 在 FFD 节点 ,未 过 多 增加 RFD 节点 的 计算 
和 通信 开销 。Kotzanikolaou 对 该 协议 进行 了 功能 扩展 "中 ,允许 任意 两 个 同 构 节点 之 间 建 
立 链 路 密 钥 。 
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与 CBC 相 比 ,基于 身份 密码 体制 (identity-based cryptography,IBC)0 洒 的 主要 优点 是 
节点 的 公 钥 由 公开 信息 直接 推导 获得 ,无 需 对 公 钥 进行 认证 ,从 而 有 效 地 降低 了 计算 复杂 度 
和 通信 和 负载 ,被 认为 比较 适用 于 WSN. Zhang 提出 了 将 Bilinear Pairing 技术 与 地 理 信息 相 
结合 的 IBC 密 钥 管理 方案 。 

部 署 前 ,节点 A 预 加 载 系 统 参 数 (p,q,E/F,,G1,Gs16, 昌 ,hh,W,Wow) 以 及 私 钥 IK。 ,其 
中 ,p 和 g HARP, 的 两 个 素数 ,E NF, 上 的 椭圆 曲线 ,Gy MG, 分 别 是 F 上 的 加 法 群 
和 乘法 群 ,2 为 双 线 性 映射 ,W EE G 上 随机 选取 的 生成 元 , 互 和 刀 为 两 个 散 列 函 数 ， 
Wow 二 xW(lx EER) IKa 二 xH(IDa)。 部 署 后 ,节点 A 通过 定位 算法 获取 其 位 置信 息 
LA 后 计算 其 私 钥 LKa 二 xH(IDa | L2. PRA 与 邻居 节点 B 可 以 通过 获取 公开 的 ID 和 
对 方 的 地 理 信息 来 建立 配对 密 钥 Kaos : A 生成 配对 密 钥 Ka,s 二 EC(LKa,H(IDs || 18)),B 生 
成 配对 密 钥 Kra 二 EC(LKs  HOIDa l| L0 ,根据 映射 e 的 性 质 可 知 , Ka =ê GH CID, ll la), 
HID; || lg)) =@C HU Dag || la) eH CIDs 71s)) 二 Ks.a， 从 而 建立 双方 的 配对 密 钥 ,在 此 基 
础 上 ,使 用 h 和 配对 密 钥 就 可 以 生成 通信 所 需 的 各 种 类 型 的 会 话 密 钥 。 

该 方案 具有 很 强 的 容 侵 能 力 ,任何 节点 的 受 损 都 不 会 暴露 其 他 节点 的 机 密 信 息 。 由 于 
采用 可 靠 的 节点 间 认 证 机 制 , 从 而 有 效 防止 了 Wormhole, Sinkhole, Sybil 和 Bogus Data 
Injection 等 攻击 。 但 该 方案 也 存在 一 些 缺 陷 : 一 是 在 节点 预 分 配 的 主 密 钥 « 必须 等 待 私 钥 
生成 后 才能 删除 , 若 主 密 钥 被 暴露 , 则 整个 网 络 的 机 密 信 息 都 会 暴露 ;二 是 因 其 位 置 是 固定 
的 ,因而 仅 适用 于 静态 WSN; 三 是 对 节点 资源 的 使 用 需求 高 ,制约 了 其 应 用 范围 。 


4.7.6 方案 和 协议 的 综合 分 析 与 所 需 解决 的 研究 问题 


从 研究 现状 看 ,随机 密 钥 预 分 配方 案 或 协议 被 认为 是 最 适用 于 WSN 的 ,目前 是 WSN 
密 钥 管理 的 一 个 主流 研究 方向 。 表 4.7. 1 在 密 钥 池 结构 、 密 钥 连 接 概 率 、 抗 毁 性 等 方面 对 部 
分 典型 的 随机 密 钥 管理 方案 进行 了 比较 。 较 高 的 密 钥 连通 概率 意味 着 相 邻 节点 甚至 全 网 络 
都 可 以 达到 较 高 的 安全 连通 性 ;而 密 钥 被 暴露 的 概率 越 小 , 则 意味 着 抗 毁 性 就 越 好 。 在 
表 4.7.1 中 ,“ y ?表示 下 降 “ 个 "表示 上 升 , 而 “一 "表示 不 变 。 

将 密 钥 池 设计 为 结构 化 、 提 高 共享 密 钥 阔 值 ` 利 用 地 理 信 息 或 部 署 知识 ,可 以 有 效 地 提 
高 随机 密 钥 预 分 配方 案 或 协议 的 抗 毁 性 。 密 钥 连通 概率 与 节点 部 署 密度 相关 ,其 理论 基础 
为 经 典 的 随机 图 模型 。 但 文献 [159] 指 出 ,经典 随 机 图 模型 并 不 完全 适用 于 WSN ,同时 也 指 
出 如 何 选取 适当 的 密 钥 池 及 密 钥 环 大 小 ,以 确保 获取 较 高 的 密 钥 连 接 概率 。 文 献 L[160] 也 针 
对 随机 图 模型 以 及 若干 个 随机 密 钥 预 分 配方 案 进行 了 深入 分 析 。 

表 4.7.2 通过 处 理 复杂 度 .通信 复杂 度 、 存 储 复杂 度 以 及 网 络 可 扩展 性 等 性 能 指标 比较 
了 一 些 典型 的 密 钥 管理 方案 和 协议 。 
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表 4.7.2 密 钥 管理 方案 和 协议 的 性 能 比较 
通信 存储 
方案 与 协议 计算 复杂 性 扩展 性 
R3 Xm 复杂 性 | 复杂 性 
E-G scheme OG) OQ) OG) Good 
q-Composite scheme O(n) O(2) O(n) Moderate 
Multiple-Space kı 
M d OQ) OQ» OQD Weak 
pre-distribution scheme 
Polynomial-Based key t modular multiplication 
OQ) O(tlogg) | Weak 
predistribution scheme and ¢ modula addition Hoga n 
CPKS 0 0 Ole) Strong 
dula ltiplication and| = 
LBKP a OR Olilogq) | Moderate 
t modular addition 
jid oui of OGn) o2) Olm) Moderate 
using deployment knowledge 
Grid-Group deployment scheme | O(A) Olr) Olr) Moderate 
t modula ltiplicati 
Grid Based key predismibunon. ||" Mean OQ» O(logg) | Weak 
and t modular addition 
PIKE O02) OG/n) OWn) Weak 
Hybrid designs for sealable OM Old) Oln) Moderate 
key distributions 
1 encryption and 
SNE) s W 
SNEP aes OQ) Sbytes eak 
ATESLA 1 hash computation 0 High Weak 
LEAP o( $ ) O(logN) O(d--L) | Weak 
SHELL High High OG) Moderate 
LOCK High High OCR) Moderate 
Fas henticated ke 
= a Nod id 760ms 1437bytes 5. 2kbytes | Moderate 
establishment protocols 
Location-Based ki 
DEA dM 62. 04ms S4bytes High Strong 
management scheme 


随机 密 钥 预 分 配方 案 或 协议 虽然 不 能 提供 最 佳 的 密 钥 连通 概率 ,但 其 计算 .存储 和 通信 
开销 较为 理想 , 且 具 有 良好 的 分 布 特 性 。 而 确定 密 钥 预 分 配 或 非 对 称 密 钥 管理 方案 和 协议 
虽然 可 以 保证 任何 两 个 节点 都 能 建立 密 钥 连接 ,但 计算 、 存 储 和 通信 开销 大 的 问题 仍 需 进 一 


步 优化 。 


总 之 ,虽然 密 钥 管理 的 研究 取得 了 许多 成 果 , 但 密 钥 管理 的 方案 和 协议 仍然 不 能 满足 各 


种 应 用 需求 ,还 存在 一 些 需要 解决 的 问题 。 具 体 如 下 : 


(1) 建立 多 种 类 型 的 通信 密 钥 。 目 前 的 WSN 密 钥 管理 方案 和 协议 大 多 仅 考虑 建立 邻 
居 节 点 间 的 配对 密 钥 ,但 配对 密 钥 只 能 实现 节点 一 对 一 通信 ,不 支持 组 播 或 全 网 广播 。 方 案 


或 协议 应 建立 多 种 类 型 通信 密 钥 ,满足 单 播 通信 、 组 播 通信 或 广播 通信 等 需求 。 
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(2) 支持 密 钥 的 分 布 式 动态 管理 。 节 点 的 受 损 是 不 可 避免 的 , 若 要 把 受 损 节 点 排除 于 
网 络 之 外 ,首先 要 动态 更 新 或 撤回 已 受 损 的 密 钥 ,但 目前 的 大 多 数 方案 或 协议 较 少 考虑 密 钥 
动态 管理 问题 。 已 有 的 密 钥 动 态 管 理 方案 多 以 集中 式 为 主 ,产生 了 过 多 的 计算 和 通信 开销 。 
密 钥 更 新 和 撤回 应 以 节点 之 间 的 协作 实现 为 主 ,才能 使 方案 或 协议 具有 良好 的 分 布 
特性 6 。 

(3) 提供 有 效 的 认证 机 制 。 密 钥 的 协商 需要 对 数据 包 和 节点 身份 进行 有 效 认 证 ,否则 
不 能 保证 所 建立 的 通信 密 钥 的 正确 性 。 单 纯 的 MAC 机 制 在 对 称 密 钥 管理 中 存在 被 伪造 的 
问题 ,基于 非 对 称 密 钥 的 数字 签名 机 制 目前 还 不 适用 于 WSN。 提 供 符合 WSN 特点 的 认证 
机 制 是 密 钥 管 理 研究 的 重要 内 容 。 

CA) 支持 容 侵 和 容错 。 节 点 易 受 损 及 计算 通信 和 能力 受 限 的 特点 ,使 得 节点 很 容易 受到 
DoS Xi i; 0? ,全 面 防御 DoS 攻击 是 比较 困难 的 。 此 外 ,即使 未 受到 安全 威胁 ,节点 出 于 对 
节能 的 考虑 或 因 资 源 被 耗 尽 导致 不 能 保证 永远 处 于 正常 运行 状态 ,数据 包 的 丢失 在 所 难免 。 
因此 ,方案 和 协议 应 具有 良好 的 容 侵 和 容错 性 。 

从 体系 结构 的 观点 来 看 , 密 钥 管理 要 为 其 他 安全 机 制 提供 基础 服务 ,并 与 这 些 安全 机 制 
共同 组 成 WSN 的 整体 安全 解决 方案 。 我 们 认为 ,实现 跨 层 设计 的 密 钥 管理 将 有 利于 明确 
设计 目标 及 性 能 优化 。 例 如 ,目前 绝 大 多 数 的 密 钥 管理 方案 和 协议 都 仅仅 致力 于 建立 相 邻 
节点 之 间 的 通信 和 密 钥 ,而 在 一 些 有 效 的 安全 解决 方案 "里 ,多 跳 节 点 之 间 的 通信 密 钥 也 是 
必要 的 。 加 强 密 钥 管理 与 安全 路 由 、 安 全 定位 、 安 全 数据 融合 等 安全 机 制 的 耦合 ,就 能 够 从 
系统 整体 的 角度 对 方案 和 协议 的 处 理 复杂 度 、 存 储 复杂 度 和 通信 复杂 度 进行 优化 ,从 而 使 得 
所 设计 的 密 钥 管理 方案 和 协议 更 加 符合 WSN 特点 ,具有 良好 的 适应 性 。 

运用 符合 WSN 特点 的 理论 分 析 方法 进行 密 钥 管理 的 研究 是 十 分 必要 的 ,这 样 能 够 避 
免 所 设计 的 机 制 和 算法 过 多 地 依赖 直觉 经 验 而 缺乏 严谨 的 、 科 学 的 、 可 信 的 理论 依据 ,从 而 
避免 研究 成 果 的 片面 性 、 局 部 化 ,甚至 不 可 用 。 为 了 提供 更 加 有 效 的 解决 方案 ,我 们 将 依靠 
成 熟 且 可 行 的 理论 方法 ,如 随机 图 理论 、 信 息 论 等 理论 方法 ,采用 WatchDog , 2 rg fic 9i 
函数 / 链 、self-healing 技术 "中 等 安全 算法 和 技术 ,结合 WSN 的 资源 受 限 .拓扑 易 变 .部署 随 
机 、 自 组 织 、 规 模 大 ,无 固定 设施 支持 等 特点 ,设计 可 行 、 可 靠 的 密 钥 管 理 方案 或 协议 ,实现 密 
钥 管 理 机 制 和 算法 的 可 模型 化 、 可 度量 化 和 可 计算 。 
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第 9 章 
基于 应 用 层 组 播 的 视频 安全 


随 着 计算 机 网 络 技术 的 飞速 发 展 ,能 将 多 媒体 信息 同时 传输 给 接 入 方式 不 同 ,计算 能 力 
各 异 、 质 量 需 求 不 同 的 终端 系统 的 数字 服务 已 日 益 成 为 市 场 需求 的 热点 ,如 付费 观看 (pay- 
per-view) \ 视 频 会 议 ,视频 点 播 (video on demand) ,军事 指挥 控制 .在线 电 视 和 联网 游戏 等 。 
组 播 (multicast) 通 信和 方式 由 于 在 进行 一 对 多 通信 时 能 够 有 效 地 降低 骨干 网 上 宛 余数 据 包 的 
传输 数量 ,所 以 在 多 媒体 通信 和 领域 得 到 了 深入 的 研究 。 传 统 的 组 播 方式 是 网 络 层 组 播 (IP 
multicast) ,尽管 从 IETF (Internet Engineering Task Force) 提 出 关于 网 络 层 组 播 的 RFC 
(request for comments) 已 有 20 余年 ,但 是 网 络 层 组 播 由 于 可 扩展 性 差 、 缺 乏 拥塞 控制 、 难 
以 管理 ,部署 难度 大 等 问题 ,一 直 得 不 到 大 规模 的 应 用 。 应 用 层 组 播 是 由 参与 服务 的 主机 构 
成 组 播 树 结构 ,组 播 功能 在 应 用 层 实 现 的 通信 模式 ,因此 应 用 层 组 播 继承 了 组 播 模式 的 通信 


效率 ,克服 了 IP 层 组 播 难以 在 Internet 中 应 用 的 缺点 。 基 于 应 用 层 组 播 的 大 规模 流 媒体 传 
输 体系 近年 来 成 为 了 研究 热点 和 多 媒体 应 用 的 发 展 方向 。 


本 童 首先 对 数字 水 印 进行 介绍 ,给 出 了 数字 水 印 典 型 算法 ;讨论 了 基于 视频 的 可 靠 密 钥 
骨 和 人 算法 和 选择 性 加 密 算法 ,然后 提出 了 一 个 媒体 相关 的 视频 安全 组 播 协议 ,给 出 了 实验 与 
分 析 结 果 。 最 后 ,阐述 了 视频 流传 输 的 差错 控制 机 制 ,介绍 了 MPEG-4 编码 标准 、 信 源 差 错 
控制 编码 和 信道 差错 控制 编码 等 ,并 针对 无 线 网 络 ,提出 一 个 动态 优化 组 包 策略 ,适用 于 各 
种 视频 编码 算法 , 且 增 强 了 抗 丢 包 能 力 。 
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基于 网 络 层 的 IP 组 播 , 由 于 其 对 网 络 层 的 依赖 性 ,实现 必须 得 到 路 由 器 的 支持 ,因此 没 
有 得 到 广泛 的 应 用 。 随 着 Internet 的 发 展 和 传输 能 力 的 提高 ,应 用 层 组 播 成 为 IP 组 播 的 有 
力 竞争 者 。 应 用 层 组 播 使 用 网 络 层 的 单 播 服务 .依靠 参与 者 之 间 的 协作 来 发 送 和 分 布 组 播 
信息 。 当 前 ,基于 应 用 层 组 播 的 流 媒 体系 统 研究 工作 已 有 不 少 的 成 果 , 如 NICE™, 
Narada”! , HMTP“™ , OMNIÉ? ,Spread It? , CoopNet“ 和 SplitSreamU! 等。 一 些 系统 已 在 
Internet 中 应 用 ,如 2003 年 SIGCOMM 会 议 曾 利用 “ 端 系统 组 播 (end system multicast)” A 
统 进行 现场 直播 , 位 于 全 球 不 同位 置 的 用 户 运行 该 系统 通过 Internet 可 观看 此 次 会 议 
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与 此 同时 ,伴随 着 人 们 对 多 媒体 业务 需求 的 日 益 增 长 ,多 媒体 信息 的 数字 版 权 保护 问题 
逐渐 成 为 各 项 多 媒体 网 络 服务 及 应 用 进一步 发 展 的 关键 ' 。 如 在 收费 电视 方面 ,目前 国 
外 许多 有 线 电 视 和 卫星 电视 已 从 纯 商 业 广告 经 营 方式 转向 采用 节目 分 层次 付费 的 营运 管理 
方式 ,并 已 取得 巨大 成 功 , 这 很 大 程度 上 依赖 于 有 效 的 版 权 保护 机 制 来 保障 运营 者 的 利益 。 
但 是 ,由 于 流 媒 体 具 有 在 线 播放 的 特点 ,而 应 用 层 组 播 技 术 也 有 很 多 不 利于 安全 传输 的 特 
点 ,因此 对 基于 应 用 层 组 播 的 流 媒 体系 统 进行 版 权 保 护 面临 着 很 大 的 困难 和 挑战 。 

基于 应 用 层 组 播 的 大 规模 流 媒体 应 用 中 的 版 权 保护 机 制 主要 解决 一 个 问题 , 即 防止 非 
法 用 户 对 受 版 权 保护 的 多 媒体 信息 的 访问 。 这 个 问题 实际 上 包含 了 两 个 子 问题 : 一 是 如 何 
保证 只 有 合法 的 用 户 才能 解码 出 组 播 中 的 多 媒体 信息 ,实际 上 是 多 媒体 数据 的 安全 传输 问 
题 , 即 多 媒体 信息 的 加 密 与 组 播 中 的 密 钥 分 发 问题 ;二 是 如 何 避 免 合 法 用 户 非法 复制 受 版 权 
保护 的 多 媒体 信息 , 即 如 何 利用 数字 水 印 技术 来 有 效 保护 媒体 著作 权 人 的 合法 利益 ,避免 非 
法 盗版 的 威胁 。 

对 于 第 二 个 问题 , 即 通过 采用 数字 水 印 技术 来 实现 版 权 保护 的 功能 ,目前 已 有 很 多 研究 
RRE ,而 且 该 部 分 功能 比较 独立 ,完全 可 以 直接 采用 现 有 的 解决 方案 。 另 外 ,本 章 内 容 主 
要 针对 流 媒体 应 用 中 的 视频 传输 ,由 于 音频 部 分 是 和 视频 同步 的 ,可 采用 与 视频 相似 的 方法 
保证 其 传输 安全 ,所 以 也 不 作 重 点 研究 。 因 此 ,本 章 将 以 应 用 层 组 播 中 的 视频 安全 传输 机 制 
作为 主要 的 研究 对 象 。 

现 有 的 针对 大 规模 流 媒体 组 播 中 的 视频 安全 传输 机 制 的 基本 解决 方案 是 对 组 播 的 视频 
信息 进行 加 密 , 而 加 密 和 解密 用 的 密 钥 只 有 通过 了 身份 认证 的 组 成 员 才 知道 ,这 个 密 钥 被 称 
为 会 话 密 钥 (session key,SK)。 但 是 现 有 的 研究 主要 针对 网 络 层 组 播 的 应 用 而 提出 的 , 针 
对 应 用 层 组 播 的 应 用 还 没有 很 好 的 方案 。 同 时 考虑 到 流 媒体 业务 对 QoS( 服 务 质量 ) 保 障 
的 高 要 求 , 如 何在 取得 版 权 保障 的 同时 ,尽量 减少 对 多 媒体 通信 中 服务 质量 的 影响 ,也 是 一 
个 非常 重要 的 问题 。 随 着 各 种 应 用 技术 的 发 展 , 信 息 安 全 和 网 络 安全 的 形势 异常 严峻 ,安全 
协议 日 趋 复杂 ,相应 地 ,对 带宽 与 计算 资源 的 消耗 也 不 断 增加 ,如 何在 安全 性 和 流 媒 体 运 行 
效率 之 间 做 出 一 个 很 好 的 权衡 自然 成 为 又 一 个 需要 解决 的 问题 。 

归纳 起 来 ,如 果 要 有 效 地 解决 这 一 安全 传输 机 制 的 问题 ,必须 依赖 如 下 3 个 关键 技术 的 
支持 : 中 高 可 扩展 的 密 钥 管理 机 制 ; @® 视 频 加 密 算法 ; 加 用 户 的 身份 认证 机 制 。 其 中 ,高 可 
扩展 的 密 钥 管理 机 制 主要 研究 的 是 在 应 用 层 组 播 中 如 何 安全 、 高 效 地 分 发 .管理 与 更 新 会 话 
密 钥 ,由 于 应 用 层 组 播 是 通过 网 络 终端 对 数据 包 的 复制 来 实现 组 播 的 ,所 以 应 用 层 组 播 在 拥 
有 较 多 优势 的 同时 ,也 具有 如 下 缺点 : 可 靠 性 差 延迟 比较 大 .传输 效率 不 如 IP ROS HE 
这 种 情况 下 ,设计 相关 的 密 钥 管理 机 制 面临 着 很 大 的 挑战 。 对 视频 加 密 算法 而 言 ,考虑 到 视 
频 通 信 中 一 定 的 特殊 性 : 中 视频 流传 输 的 数据 量 非常 大 ,需要 加 密 算 法 比较 有 效 , 同 时 ,大 
数据 量 也 为 人 侵 者 进行 统计 攻击 提供 了 条 件 , 需 要 加 密 算法 能 够 应 对 统计 攻击 ; @ 视 频传 
输 流 中 的 重要 信息 一 般 不 多 ,即使 丢失 或 改动 某 些 信 息 , 人 眼 在 接收 端 也 很 难 识别 出 来 或 者 
也 能 接受 ; @ 视 频 通 信 对 时 延 的 敏感 性 ; @ 对 安全 性 的 要 求 相 对 数据 通信 效率 而 言 要 低 ， 
要 求 视频 加 密 算法 要 同时 兼顾 实时 性 与 安全 性 的 需要 。 用 户 的 身份 认证 机 制 要 确保 用 户 身 
份 的 合法 性 ,并 确保 其 组 播 信息 的 不 可 否认 性 。 目 前 ,比较 有 代表 性 的 身份 验证 方法 是 基于 
权威 机 构 颁 发 的 公 钥 证 书 的 PKI 认证 方式 " 3。 其 他 简单 的 认证 方式 ,如 基于 预先 共享 密 钥 
的 认证 方式 等 。 由 于 在 该 领域 的 研究 相对 比较 独立 与 成 熟 ,所 以 这 里 不 对 该 问题 进行 专门 
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研究 ,而 是 直接 采用 已 有 的 方式 来 验证 用 户 的 身份 。 

我 们 将 相关 的 研究 按 密 钥 分 发 信道 的 不 同 分 为 两 类 5 : 媒体 无 关 的 密 钥 分 发 解决 方 
案 (media-independent approach) 和 媒体 相关 的 密 钥 分 发 解决 方案 (media-dependent 
approach) 。 

在 媒体 无 关 的 密 钥 分 发 方案 中 , 密 钥 的 更 新 信息 通过 独立 于 媒体 内 容 的 信道 传输 给 组 
播 成 员 。 密 钥 的 分 发 通常 要 使 用 可 靠 组 播 协议 来 分 发 。 当 用 媒体 无 关 的 密 钥 分 发 机 制 进行 
密 钥 分 发 时 ,一 个 很 重要 的 弱点 是 容易 受到 攻击 ,在 网 上 的 非法 监听 人 员 可 以 从 该 通道 获取 
很 多 重要 信息 来 攻击 该 系统 ,如 可 以 知道 组 播 成 员 的 数量 等 ,文献 [14] 分 析 了 相关 系统 的 弱 
点 。 同 时 ,由 于 该 方式 没有 考虑 到 流 媒 体 的 特性 ,也 无 法 有 效 支 持 现 有 的 服务 质量 控制 策 
略 , 因 而 大 大 降低 了 流 媒体 通信 中 的 服务 质量 。 

在 媒体 相关 的 密 钥 分 发 机 制 中 , 密 钥 被 嵌入 到 多 媒体 信息 中 ,与 多 媒体 信息 中 的 内 容 一 
起 通过 一 个 信道 发 送 给 组 播 成 员 。 密 钥 苦 入 技术 与 数字 水 印 技术 有 很 多 相似 的 地 方 , 都 是 
利用 视频 编码 中 的 一 些 特点 ,如 DCT (discrete cosine transform ,离散 余弦 变换 ) 系 数 块 、. 运 
动 估 计 的 精度 等 来 隐藏 密 钥 。 当 然 两 者 也 有 所 不 同 , 如 密 钥 信 息 比 水 印信 息 要 少 ,而 对 传输 
的 可 靠 性 要 求 很 高 。 总 的 来 说 ,媒体 相关 的 密 钥 分 发 方案 相对 媒体 无 关 的 密 钥 分 发 方案 来 
说 有 很 多 的 优点 : 

C 通过 将 要 更 新 的 密 钥 嵌入 到 多 媒体 信息 中 来 分 发 ,可 以 有 效 地 降低 密 钥 更 新 时 对 
网 络 带 宽 等 资源 的 消耗 。 

(2) 密 钥 能 入 到 多 媒体 信息 中 并 且 随 多 媒体 信息 一 起 发 送 , 网 上 的 非法 监听 人 员 无 法 
监听 到 密 钥 更 新 的 信息 。 

(3) 有 效 提高 了 安全 性 ,因为 监听 者 要 破解 密 钥 ,不 仅 需 要 攻击 会 话 密 钥 (SK) 和 用 于 
加 密 SK 的 密 钥 (KEK) ,还 必须 知道 密 钥 的 内 艇 规则 ,这 增 大 了 攻击 的 难度 ,因此 增强 了 密 
钥 的 安全 性 。 

(4) 使 用 媒体 相关 通道 进行 密 钥 传输 ,可 以 通过 应 用 层 重 传 机 制 和 差错 控制 来 保证 传 
递 密 钥 重新 分 发 消息 的 可 靠 性 ;视频 编码 中 诸多 的 差错 控制 算法 也 都 可 以 被 用 来 提高 密 钥 
分 发 的 可 靠 性 。 

(5) 对 于 可 伸缩 的 视频 传输 系统 而 言 ,一 个 视频 源 可 能 会 提供 多 层 不 同 精度 的 视频 , 现 
有 的 许多 应 用 层 分 层 组 播 系 统 属 于 这 种 情况 ,对 这 种 情况 而 言 ,使 用 媒体 相关 通道 进行 密 钥 
传输 是 最 适合 的 。 因 为 若 用 媒体 无 关 的 密 钥 分 发 机 制 进行 密 钥 分 发 的 话 , 则 系统 的 开销 和 
成 本 太 大 了 。 

由 于 媒体 相关 的 密 钥 分 发 方式 具有 性 能 和 安全 方面 的 双重 优势 ,所 以 在 本 章 中 采用 媒 
体 相 关 的 密 钥 分 发 方案 。 用 媒体 相关 的 分 发 机 制 来 解决 基于 应 用 层 组 播 的 视频 安全 传输 机 
制 的 问题 ,需要 深入 研究 以 下 内 容 : 四 基于 视频 的 密 钥 嵌入 算法 的 研究 ; 四 视频 加 密 算法 
的 研究 ; @ 密 钥 管理 与 分 发 机 制 的 研究 ; @ 视 频 流 传输 的 差错 控制 研究 。 对 媒体 相关 的 方 
案 和 媒体 无 关 的 方案 而 言 ,区 别 在 于 传输 媒介 不 同 ,但 是 对 密 钥 更 新 与 分 发 的 策略 而 言 , 基 
于 两 者 的 方法 区 别 不 大 。 
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52 流 媒 体 与 应 用 层 组 播 概述 


5.2.1 流 媒 体 技术 


流 媒 体 技术 广泛 用 于 在 线 直 播 ,视频 点 播 .远程 教育 多 媒体 新 闻 发 布 网 络 广告 .电子 
商务 .远程 医疗 、 网 络 电台 、 实 时 视频 会 议 等 互联 网 信息 服务 的 方方面面 , 它 的 应 用 将 为 网 络 
信息 交流 带 来 革命 性 的 变化 ,将 对 人 们 的 工作 和 生活 产生 深远 的 影响 。 
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流 媒 体 (streaming media) 是 指 在 网 络 上 按时 间 先 后 次 序 传输 和 播放 的 连续 音 / 视 频数 
据 流 。 流 媒体 把 连续 的 影像 和 声音 信息 经 过 特殊 的 压缩 方式 分 成 一 个 个 压缩 包 , 由 音 / 视 频 
服务 器 向 用 户 计算 机 连续 、 实 时 地 传送 。 让 用 户 一 边 下 载 一 边 观看 和 收听 ,不 需要 将 整个 压 
缩 文 件 下 载 到 自己 的 机 器 后 才 可 以 观看 。 该 技术 先 在 用 户 端的 电脑 上 创建 一 个 缓冲 区 ,在 
播放 前 预先 下 载 文件 的 一 小 段 数据 作为 缓冲 ,播放 程序 取 用 这 一 小 段 缓冲 区 内 的 数据 进行 
播放 。 在 播放 的 同时 ,多 媒体 文件 的 剩余 部 分 在 后 台 继续 下 载 填 充 到 缓冲 区 。 这 样 , 当 网 络 
实际 连接 速度 大 于 播放 所 消耗 数据 的 速度 时 ,就 可 以 避免 播放 的 中 断 , 也 使 得 播放 品质 得 以 
维持 。 流 媒体 数据 流 具 有 3 个 特点 : 连续 性 、 实 时 性 和 时 序 性 , 即 其 数据 流 具 有 严格 的 前 后 
时 序 关系 。 

与 传统 多 媒体 相 比 , 流 媒体 具有 以 下 优点 : 

CD 启动 延迟 大 幅度 地 缩短 ,用 户 不 用 等 待 所 有 内 容 下 载 到 硬盘 上 才 开 始 浏览 /观看 。 
一 般 来 说 ,一 个 45 分 钟 的 影片 片段 在 1 分 钟 内 就 能 够 显示 在 客户 端 上 ,而 且 在 播放 过 程 中 
一 般 不 会 出 现 断 续 的 情况 。 

(2) 对 系统 缓存 容量 的 需求 大 为 降低 。 由 于 Internet 是 以 保证 传输 为 基础 进行 断 续 的 
异步 传输 ,数据 被 分 解 成 许多 包 进 行 传输 ,动态 变化 的 网 络 使 各 个 包 可 能 选择 不 同 的 路 由 ， 
故 到 达 用 户 计算 机 的 时 间 延 迟 也 就 有 所 不 同 。 所 以 ,在 客户 端 需 要 缓存 系统 来 弥补 延迟 和 
抖动 的 影响 以 及 保证 数据 包 传输 顺序 的 正确 性 ,使 媒体 数据 能 够 连续 输出 ,不 会 因 网 络 暂时 
拥堵 而 使 播放 出 现 停顿 。 虽 然 流 式 传输 仍 需要 缓存 ,但 由 于 不 需要 把 多 媒体 文件 所 有 的 动 
画 、 音 /视频 内 容 都 下 载 到 缓存 中 ,因此 ,对 缓存 的 要 求 大 为 降低 。 

(3) 流 式 传输 的 实现 有 特定 的 实时 传输 协议 ,更 加 适合 动画 、 音 /视频 在 网 上 的 流 式 实 
时 传输 。 

5212 流 式 传输 

流 式 传输 是 流 媒 体 实 现 的 关键 技术 ,其 定义 很 广泛 ,现在 主要 是 指 通过 网 络 传 送 媒 体 的 
技术 总 称 。 首先, 流 式 传输 的 实现 需要 缓存 。 通 常 高 速 缓存 所 需 容量 并 不 大 ,因为 高 速 缓存 


使 用 环形 链表 结构 来 存储 数据 ,通过 丢弃 已 经 播放 的 内 容 , 流 可 以 重新 利用 空 出 的 高 速 缓 存 
空间 来 缓存 后 续 尚 未 播放 的 内 容 。 
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其 次 , 流 式 传输 的 实现 需要 合适 的 传输 协议 。WWW 技术 是 以 HTTP 为 基础 的 ,而 
HTTP 建立 在 TCP 的 基础 上 。 由 于 TCP 需要 较 多 的 开销 , 故 不 太 适 合 传输 实时 数据 。 在 
流 式 传输 的 实现 方案 中 ,一 般 采用 HTTP/TCP 来 传输 控制 信息 ,而 用 RTP (real-time 
transport protocol, 实 时 传输 协议 )/UDP 来 传输 实时 音 / 视 频数 据 。 

流 式 传输 的 过 程 一 般 是 : 用 户 选择 某 一 流 媒体 服务 后 , Web 浏览 器 与 Web 服务 器 之 间 
使 用 HTTP/TCP 交换 控制 信息 ,以便 把 需要 传输 的 实时 数据 从 原始 信息 中 检索 出 来 ;然后 
客户 机 上 的 Web 浏览 器 启动 流 媒 体 播放 程序 ,使 用 HTTP 从 Web 服务 器 检索 相关 参数 初 
始 化 流 媒体 播放 程序 。 这 些 参 数 可 能 包括 目录 信息 .A/V 数据 的 编码 类 型 或 与 A/V 检索 
相关 的 服务 器 地 址 。 流 式 传输 的 过 程 如 图 5. 2. 1 所 示 。 


HTTP/ TCP 


Web 浏览 器 Web 服务 器 
sx 
控制 信息 RTSP / TCP (UDP) 
播放 器 A/V 服 务 器 


数据 信息 RTP / UDP 
图 5.2.1 流 式 传输 过 程 


实现 流 式 传 输 有 两 种 方法 : 实时 流 式 (realtime streaming) 传输 和 顺序 流 式 
(progressive streaming) 传 输 。 一 般 来 说 ,如 视频 为 实时 广播 ,使 用 流 式 传输 媒体 服务 器 , 即 
为 实时 流 式 传输 。 如 使 用 HTTP 服务 器 ,文件 即 通过 顺序 流 发 送 , 则 称 为 顺序 流 式 传输 。 
采用 哪 种 传输 方法 依赖 于 用 户 的 具体 需求 ,当然 , 流 式 文件 也 支持 播放 前 完全 下 载 到 硬盘 后 
再 播放 的 方式 。 

(1) 顺序 流 式 传输 

顺序 流 式 传输 是 顺序 下 载 , 用 户 可 以 观看 在 线 媒 体 。 但 在 给 定时 刻 , 用 户 只 能 观看 已 下 
载 的 那 部 分 ,而 不 能 跳 到 未 下 载 的 前 序 部 分 ;不 能 根据 用 户 的 连接 速度 作 调整 。 由 于 标准 的 
HTTP 服务 器 可 发 送 这 种 形式 的 文件 ,而 不 需要 其 他 特殊 协议 ,所 以 经 常 称 之 为 HTTP 流 
式 传输 。 

顺序 流 式 传输 方式 适合 高 质量 的 短片 段 , 如 片头 .片尾 和 广告 ,由 于 文件 在 播放 前 观看 
的 部 分 是 无 损 下 载 的 ,所 以 这 种 方法 能 够 保证 电影 播放 的 最 终 质 量 。 顺 序 流 式 文件 放 在 标 
准 HTTP 或 FTP 服务 器 上 ,易于 管理 ,基本 上 与 防火 墙 无 关 。 顺 序 流 式 传输 不 适合 长 片段 
和 有 随机 访问 要 求 的 视频 、 讲 座 、 演 说 与 演示 ,也 不 支持 现场 广播 ,严格 地 说 , 它 是 一 种 点 播 
技术 。 

(2) 实时 流 式 传输 

实时 流 式 传输 是 指 保证 媒体 信号 带宽 与 网 络 连 接 相 匹配 ,使 媒体 可 被 实时 地 观看 。 实 
时 流 与 HTTP 流 式 传输 不 同 , 需 要 专用 的 流 媒 体 服务 器 与 传输 协议 。 实 时 流 式 传输 是 实时 
传送 ,特别 适合 现场 事件 ,也 支持 随机 访问 ,用 户 可 快 进 或 后 退 以 观看 前 面 或 后 面 的 内 容 。 
理论 上 ,实时 流 一 经 播放 就 可 不 停 地 收看 ,但 实际 上 ,可 能 会 发 生 周期 暂停 。 从 视频 质量 上 
讲 , 实 时 流 式 传输 必须 匹配 连接 带宽 ,由 于 出 错 丢 失 的 信息 被 忽略 掉 , 网 络 拥挤 或 出 现 问题 
时 ,视频 质量 会 很 差 , 如 要 保证 视频 质量 ,顺序 流 式 传输 效果 更 好 。 
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实时 流 式 传输 需要 特定 服务 器 , 如 QuickTime Streaming Server. Real Server 与 
Windows Media Server, 这 些 服务 器 允许 对 媒体 发 送 进行 更 多 级 别 的 控制 ,因而 系统 设置 、 
管理 比 标准 HTTP 服务 器 更 加 复杂 。 


5213 流 媒体 实现 原理 


流 媒 体 实现 原理 简单 来 说 ,就 是 通过 采用 高 效 的 压缩 算法 ,在 降低 文件 大 小 的 同时 伴随 
质量 的 损失 ,让 原 有 的 庞大 的 多 媒体 数据 适合 流 式 传输 。 然 后 通过 架设 流 媒体 服务 器 ,修改 
相应 的 标识 ,利用 各 种 实时 协议 传输 流 数 据 。 流 媒体 实现 原理 如 图 5. 2. 2 Bron. 


原始 媒体 | 编码 器 ”| 流 式 传输 | 流 媒体 | 流 式 传输 | 流 媒体 
( 预 处 理 ) 服务 器 播放 器 


图 5.2.2 流 媒体 实现 原理 


1. 预 处 理 

多 媒体 数据 必须 进行 预 处 理 才 能 适合 流 式 传输 ,这 是 因为 目前 的 网 络 带 宽 相 对 多 媒体 
巨大 的 数据 流量 来 说 还 显得 远 远 不 够 。 预 处 理 主要 包括 两 个 方面 : 一 是 采用 先进 、 高 效 的 
压缩 算法 ;二 是 加 入 一 些 附 加 信息 把 压缩 媒体 转 为 适合 流 式 传输 的 文件 格式 。 其 关键 在 于 
压缩 原始 的 音 /视频 内 容 , 使 其 能 够 在 窑 带 或 宽带 通道 上 以 流 的 方式 传 给 用 户 。 预 处 理 在 编 
码 器 内 完成 ,编码 方式 的 选择 可 以 是 多 种 多 样 的 。 

音 /视频 编码 器 在 功能 上 有 相当 大 的 差别 。 最 终 的 编码 资料 可 以 是 利用 文本 、 图 形 、 脚 
本 形式 进行 多 路 传输 的 ,并 且 是 放 在 能 够 实现 流 的 方式 的 文件 结构 中 ,也 就 意味 着 ,该 文件 
由 时 间 标 记 以 及 其 他 易于 实现 流 的 方式 的 特点 ,然后 再 在 客户 端 进行 解码 。 编 码 过 程 应 该 
考虑 不 同 编码 速度 的 定制 性 能 . 包 损 失 的 容错 性 与 网 络 的 带宽 波动 ,最低 速度 下 好 的 音 / 视 
频 品 质 、 编 码 / 流 式 传送 的 成 本 ` 流 的 控制 及 其 他 方面 等 。 


2. 媒体 服务 器 

流 媒 体系 统 中 的 媒体 服务 器 用 于 存放 和 控制 流 媒 体 的 数据 。 随 着 流 媒 体 规模 的 扩大 ， 
流 媒 体 服 务 器 的 性 能 成 为 制约 流 媒体 服务 扩展 能 力 的 重要 因素 。 流 媒体 服务 器 性 能 的 关键 
指标 是 流 输出 能 力 以 及 能 同时 支持 的 并 发 请 求 数量 。 影 响 流 媒 体 服务 器 性 能 的 因素 很 多 ， 
包括 CPU 能 力 I/O 总 线 、 存 储 带 宽 等 。 通 常 单个 流 媒体 服务 器 的 并 发 数 都 在 几 百 以 内 , 因 
此 为 了 具有 更 好 的 性 能 ,目前 的 高 性 能 流 媒 体 服 务 器 都 采用 大 规模 并 行 处 理 的 结构 ,例如 采 
用 超 立方 体 的 结构 将 各 个 流 媒 体 服 务 单元 连接 起 来 。 还 有 一 种 方法 是 采用 简单 的 PC 集群 
的 方式 ,这 种 方式 下 多 个 PC 流 媒 体 服务 器 用 局 域 网 连接 ,前 端 采用 内 容 交换 /负载 均衡 器 
将 流 媒体 服务 的 请 求 分 布 到 各 个 PC 媒体 服务 单元 。 后 一 种 方式 的 性 能 不 如 前 一 种 方式 ， 
但 是 成 本 低 ,容易 实现 。 


3. 流 媒体 传输 协议 
流 式 传输 的 实现 需要 合适 的 传输 协议 。TCP 需要 较 多 的 开销 , 故 不 太 适 合 传输 实时 数 
据 。 在 流 式 传输 的 实现 方案 中 ,一 般 采 用 HTTP/TCP 来 传输 控制 信息 ,而 用 RTP/UDP 来 
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传输 实时 多 媒体 数据 。 

(1) 实时 传输 协议 RTP 与 RTCP 

RTP(Real-Time Transport Protocol, 实 时 传输 协议 ) 是 用 于 Internet/Intranet 针对 多 
媒体 数据 流 的 一 种 传输 协议 。RT 被 定义 在 一 对 一 或 一 对 多 传输 的 情况 下 工作 ,其 目的 是 
提供 时 间 信 息 和 实现 流 同 步 。RTP 通常 使 UDP 来 传送 数据 ,但 RTP 也 可 以 在 TCP 或 
ATM 等 其 他 协议 上 工作 。 当 应 用 程序 开始 一 个 RTP 会 话 时 将 使 用 两 个 端口 : 一 个 给 
RTP, 另 一 个 给 RTCP( Real-time Transport Control Protocol, 实 时 传输 控制 协议 )。RTP 
本 身 并 不 能 为 顺序 传送 数据 包 提供 可 靠 的 传送 机 制 ,也 不 提供 流量 控制 或 拥塞 控制 , 它 依靠 
RTCP 提供 这 些 服务 。RTCP 和 RTP 一 起 提供 流量 控制 和 拥塞 控制 服务 。RTP 和 RTCP 
配合 使 用 ,它们 能 以 有 效 的 反馈 和 最 小 的 开销 使 传输 效率 最 佳 ,因而 特别 适合 传送 网 上 的 实 
时 数据 。 

(2) 实时 流 协议 RTSP 

RTSP(Real-Time Streaming Protocol, 实 时 流 协 议 ) 是 由 RealNetworks 和 Netscape 
共同 提出 来 的 ,该 协议 定义 了 一 对 多 应 用 程序 如 何 有 效 地 通过 IP 网 络 传送 多 媒体 数据 。 
RTSP 在 体系 结构 上 位 于 RTP 和 RTCP 之 上 , 它 使 用 TCP 或 RTP 完成 数据 传输 。HTTP 
与 RTSP 相 比 ,HTTP 传送 HTML, m RTP 传送 的 是 多 媒体 数据 。HTTP 请 求 由 客户 机 
发 出 ,服务 器 作出 响应 ;使 用 RTSP 时 ,客户 机 和 服务 器 都 可 以 发 出 请 求 , 即 RTSP 可 以 是 
双向 的 。 

(3) 资源 预 留 协议 RSVP 

由 于 音频 和 视频 数据 流 比 传统 数据 对 网 络 的 延 时 更 敏感 ,要 在 网 络 中 传输 高 质量 的 音 
频 、 视 频 信息 , 除 带 宽 要 求 之 外 ,还 需要 其 他 更 多 的 条 件 。RSVP (Resource Reserve 
Protocol) Internet 上 的 资源 预 留 协议 ,使 用 RSVP 预 留 一 部 分 网 络 资源 ,能 在 一 定 程 度 
上 为 流 媒 体 的 传输 提供 QoS 保障 。 
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随 着 Internet 的 不 断 发 展 ,网络 用 户 的 大 量 增 加 ,各 种 多 媒体 业务 的 大 量 应 用 以 及 越 
来 越 多 的 新 兴业 务 的 涌现 ,例如 视频 点 播 , 电 视 电话 会 议 、 远 程 教学 等 ,导致 传统 的 点 到 
点 的 单 播 通信 方式 由 于 其 严重 的 带宽 浪费 和 效率 低 已 经 不 能 适应 这 些 要 求 了 ,于 是 人 们 
提出 了 组 播 的 概念 。 组 播 是 一 种 通过 单一 的 发 送 操作 将 数据 报 从 一 点 传送 到 多 点 的 通 
信和 方式 。 

目前 应 用 层 组 播 研 究 集中 于 视频 会 议 系 统 、 媒 体 流 的 分 发 系统 (如 视频 广播 ) 和 订阅 
(publish)/ 分 发 系统 (subscribe system) 等 , 它 主要 用 于 实时 的 多 媒体 传输 。 这 里 利用 了 多 
媒体 信息 的 性 质 , 即 在 传输 链 路 质量 下 降 时 ,用 户 仍 可 利用 收 到 的 低速 率 或 者 不 完整 的 信 
B, ,也 利用 了 组 播 “ 时 间 上 集中 .空间 上 分 布 ?的 特点 。 


5221 应 用 层 组 播 原理 
应 用 层 组 播 (application layer multicast. ALM) 的 基本 思想 是 将 组 成 员 组 织 成 一 个 覆 
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盖 网 络 (overlay network) ,通过 组 成 员 之 间 的 协作 实现 高 效 、 可 靠 的 数据 传输 服务 。 应 用 层 
组 播 将 路 由 器 的 组 播 功能 提升 至 端 主机 的 应 用 层 实 现 , 即 组 成 员 主机 在 接收 报 文 的 同时 ,还 
将 报 文 复制 并 传递 给 其 他 组 成 员 主 机 ,实现 了 应 用 层 的 数据 组 播 ( 报 文 在 网 络 层 实际 是 用 单 
播 机 制 传送 的 ) 。 通 过 应 用 层 组 播 ,所 有 加 到 系统 的 节点 不 仅 使 用 其 他 节点 提供 的 流 媒 体 服 
务 , 而 且 同时 为 其 他 节点 提供 服务 ,使 实现 轻 量 级 的 流 媒体 服务 器 成 为 可 能 。 

并 不 像 IP 组 播 那样 ,数据 报 在 路 由 器 进行 复制 转发 ,应 用 层 组 播 的 数据 在 端 系统 上 复 
制 并 转发 ,同时 端 系统 也 负责 组 播 组 成 员 的 管理 。 端 系统 在 逻辑 上 组 成 了 一 个 铸 加 网 络 拓 
扑 , 而 应 用 层 组 播 协 议 的 主要 目标 就 是 构造 并 维护 一 个 有 效 的 数据 传输 拓扑 。 图 5. 2. 3 对 
简单 单 播 、 组 播 和 应 用 层 组 播 作 了 一 个 比较 。 

of RI = R2 


RI H R2 
© 


(a) 网 络 拓扑 (b) 单 播 (c) IP 组 播 (d) 应 用 层 组 播 


图 5.2.3 1 单 播 .IP 组 播 和 应 用 层 组 播 


图 5.2.3(b) 描 述 了 简单 的 单 播 传 输 。 可 以 看 出 ,在 靠近 数据 源 的 路 径 上 出 现 了 非常 大 
的 数据 传输 元 余 ( 例 如 , 链 路 A-RI 会 传输 3 份 相同 的 数据 传输 ), 并 因此 导致 在 花费 较 高 的 
链接 (R1-R2) 上 出 现 重 复 的 数据 传输 。 

图 5.2.3(c) 描 述 了 用 DVMRP(distance vector multicast routing protocol, 距 离 向 量 组 
播 路 由 协议 ) 构 造 的 一 个 IP 组 播 树 。 可 以 看 到 ,IP 组 播 有 效 地 避免 了 元 余 的 数据 传输 ,并 
且 在 每 一 个 物理 链接 上 仅 有 一 个 数据 传输 ,同时 也 使 每 个 接收 者 获得 了 与 单 播 同样 的 低 
延 时 。 

图 5.2.3 (d) 描 述 了 用 应 用 层 组 播 协议 构成 的 一 个 释 加 组 播 树 ,与 图 5. 2. 3(b) 所 用 的 
简单 单 播 技术 相 比 ,临近 数据 源 A 的 链 路 A-R1 上 只 出 现 2 次 相同 的 数据 传输 ,同时 在 花费 
较 高 的 链 路 RI-R2 上 并 没有 出 现 数据 传输 元 余 , 由 此 可 以 看 出 ,不 需要 任何 的 网 络 底 层 改 
变 , 也 可 以 实现 比较 有 效 的 组 播 传输 。 
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端 系统 实现 的 组 播 功能 可 以 避免 网 络 层 实现 组 播 的 许多 难题 ,其 优点 如 下 : 

(1) 应 用 层 组 播 的 状态 在 主机 系统 中 维护 ,不 需要 路 由 器 保持 组 的 状态 , 即 不 需要 改变 
现 有 网 络 路 由 器 ,解决 了 业务 的 扩展 问题 ,使 得 网 络 可 以 支持 大 量 的 组 播 组 。 

(2) 接 人 控制 更 容易 实现 。 由 于 单 播 技术 在 这 方面 比较 成 熟 ,而 应 用 层 组 播 是 通过 终 
端 系 统 之 间 单 播 来 实现 的 ,所 以 差错 控制 , 流 控制 拥塞 控制 容易 实现 。 

(3) JC IP 组 播 中 复杂 的 地 址 结构 和 复杂 的 协议 。 

应 用 层 组 播 也 存在 以 下 缺点 : 

(1) 可 靠 性 相对 较 差 : 终端 系统 的 可 靠 性 比 路 由 器 要 差 。 
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(2) 可 扩展 性 不 好 : 底层 的 路 由 信息 对 应 用 层 组 播 来 说 是 隐藏 起 来 的 ,可 扩展 性 不 好 。 

(3) 延迟 比较 大 : IP 组 播 主要 是 链 路 上 的 延迟 ,而 在 应 用 层 组 播 中 ,数据 还 要 经 过 终端 
系统 ,因而 延迟 相对 要 大 一 点 。 

(4) 传输 效率 不 如 TP. 组 播 : 应 用 层 组 播 在 数据 传输 过 程 中 会 产生 数据 元 余 , 因 此 它们 
IE IP 组 播 的 效率 要 差 。 


5223 ”应 用 层 组 播 与 P 组 播 的 区 别 


IP 组 播 是 对 互联 网 的 “ 单 播 , 尽 力 转 发 "模型 的 重要 扩充 ,组 播 的 主要 功能 在 路 由 器 上 
实现 ,通过 合并 重复 信息 传输 来 减少 带宽 浪费 和 降低 服务 器 的 负担 。IP 组 播 的 主要 思想 
是 ,在 互联 网 单 播 的 框架 上 进行 扩展 ,功能 主要 通过 路 由 器 来 实现 。 组 播 适用 于 那些 在 时 间 
上 具有 集中 性 ,而 在 空间 上 具有 分 布 性 的 应 用 。IP 组 播 适 用 于 实时 不 可 靠 的 应 用 。 

由 于 能 够 有 效 地 减少 数据 包 的 复制 到 最 小 的 限度 ,IP 组 播 一 直 以 来 被 认为 是 一 种 最 有 
效 的 实现 数据 的 群 分 发 的 方法 ,但 是 由 于 IP 组 播 在 传输 技术 和 管理 上 的 缺点 , 使 得 IP 组 
播 至 今 并 没有 能 够 得 到 广泛 的 应 用 。 

CD IP 组 播 要 求 路 由 器 为 每 一 个 组 播 组 保留 状态 信息 ,可 扩展 性 较 差 。 这 样 ,路 由 器 的 
路 由 和 转发 表 将 需要 对 每 一 个 不 同 的 组 播 地 址 保留 一 个 相应 的 路 由 表 项 ,但 是 组 播 地 址 并 
不 像 单 播 地 址 那样 容易 集成 , 因此 增加 了 路 由 器 的 系统 开销 和 复杂 性 。 

(2) IP 组 播 是 一 种 尽力 而 为 的 服务 。 当 要 提供 高 层 的 特性 时 ,如 可 靠 传 输 、 拥 塞 控制 、 
流量 控制 以 及 安全 管理 等 , 会 比 简单 的 单 播 更 困难 ,因此 Internet 服务 提供 商 不 愿意 提供 
IP 组 播 的 支持 。 虽 然 目 前 已 经 出 现 了 针对 上 面 这 些 特性 的 研究 ,但 是 这 些 解 决 方案 目前 在 
Internet 上 的 影响 并 不 明确 ,需要 在 大 范围 应 用 前 进行 更 好 的 研究 。 

(3) IP 组 播 需要 对 现 有 网 络 作 底层 的 改变 。 同 时 ,由 于 在 收费 机 制 方面 的 技术 无 法 突 
破 ,使 得 目前 只 有 少数 的 Internet 服务 提供 商 支持 IP 组 播 。 

出 于 上 述 考虑 ,国外 一 些 研 究 者 开始 研究 新 的 组 播 架构 ,围绕 IP 组 播 的 种 种 难题 ,提出 
了 基于 应 用 层 的 组 播 协议 ,在 应 用 层 实现 组 播 的 功能 ,不 再 依靠 网 络 层 路 由 器 来 实现 。 这 种 
组 播 方法 不 需要 任何 网 络 底层 架构 的 改变 来 实现 组 播 ,从 而 为 组 播 的 大 范围 开展 与 应 用 提 
出 了 一 条 新 的 途径 。 

应 用 层 组 播 与 IP 组 播 的 主要 区 别 如 下 : 

(1) 报 文 转发 位 置 不 同 。 应 用 层 组 播 数据 转发 节点 是 覆盖 式 网 络 中 的 终端 主机 ,而 IP 
组 播 的 报 文 转发 必须 由 核心 路 由 器 来 处 理 。 

(2) 网 络 拓扑 的 创建 方法 不 同 。 应 用 层 组 播 的 覆盖 式 网 络 是 由 节点 间 直 连 而 成 的 一 个 
虚拟 图 (有 向 图 或 无 向 图 ) ,完全 隐藏 了 底层 的 物理 网 络 拓 扑 。 这 种 覆盖 式 网 络 拓扑 是 完全 
可 控 的 , 且 可 以 利用 一 些 额 外 的 知识 或 特定 的 度量 对 网 络 拓扑 进行 优化 。 而 在 IP 组 播 中 ， 
路 由 器 是 预先 部 署 的 ,因此 网 络 拓扑 难以 控制 和 改变 。 

(3) 组 成 员 关 系 维护 方式 不 同 。IP 组 播 的 组 成 员 关系 信息 分 布 于 组 播 路 由 器 ,而 应 用 
层 组 播 的 成 员 关 系 由 系统 中 的 汇聚 点 集中 控制 或 完全 分 散 于 各 个 节点 。 
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53 数字 水 印 


随 着 数字 技术 和 Internet 的 发 展 ,图 像 、 音 频 、 视 频 等 形式 的 多 媒体 数字 作品 纷纷 在 网 
络 上 发 布 ,其 版 权 保 护 与 信息 完整 性 保证 逐渐 成 为 迫切 需要 解决 的 一 个 重要 问题 。 数 字 水 
El (digital watermarking) 是 近 几 年 来 国际 学 术 界 兴起 的 一 个 前 沿 研究 领域 ,作为 一 种 信息 
隐藏 技术 ,广泛 应 用 于 媒体 版 权 保护 等 方面 。 数 字 水 印 作 为 信息 隐藏 技术 研究 领域 的 重要 
分 支 , 是 实现 多 媒体 版 权 保护 与 信息 完整 性 保证 的 有 效 方法 ,目前 也 正成 为 信息 领域 的 一 个 
研究 热点 。 其 主要 思想 是 在 数字 媒体 内 容 之 中 嵌入 某 种 信息 ( 即 数字 水 印 ) 来 证 实 该 数据 的 
所 有 权 。 在 发 生 数字 媒体 侵权 使 用 、 版 权 争 议 时 ,通过 检测 媒体 内 容 中 的 数字 水 印 判 断 其 来 
源 , 从 而 起 到 对 多 媒体 信息 进行 版 权 保护 的 目的 。 被 嵌入 的 水 印 可 以 是 一 段 文字 、 标 识 、 序 
列 号 或 者 是 一 幅 图 像 等 ,而 且 通 常 是 不 可 见 的 , 它 与 原始 数据 紧密 结合 并 隐藏 在 其 中 ,并 且 
可 以 经 历 一 些 不 破坏 原始 数据 使 用 价值 或 商用 价值 的 操作 而 得 以 保存 下 来 。 


5.3.1 数字 水 印 的 特点 及 应 用 


在 数字 水 印 系统 中 ,水 印信 息 的 丢失 ,就 意味 着 版 权 保护 信息 的 丢失 ,从 而 也 就 失去 了 
版 权 保 护 的 功能 。 因 此 水 印信 息 应 尽 可 能 地 隐蔽 不 易 被 发 现 ,同时 还 必须 考虑 水 印 数 据 在 
经 历 各 种 正常 和 非 正 常 的 操作 之 后 仍 具 有 免 遭 破坏 的 能 力 , 因此 数字 水 印 技术 必须 具有 如 
下 特性 : 

(1) 不 可 见 性 (imperceptibility) : 数字 水 印 的 嵌入 不 应 使 得 原始 数据 发 生 可 感知 的 改 
变 , 也 不 能 使 得 被 保护 数据 在 质量 上 发 生 可 以 感觉 到 的 失真 。 

(2) 鲁 棒 性 (robustness) : 当 被 保护 的 数据 经 过 某 种 改动 或 者 攻击 (如 传输 编码、 有 损 
压缩 等 ) 以 后 ,嵌入 的 水 印信 息 应 保持 一 定 的 完整 性 ,并 能 以 一 定 的 正确 概率 被 检测 到 。 

(3) 安全 性 (security) : 数字 水 印 应 该 难以 被 伪造 或 者 加 工 , 并 且 未 经 授权 的 个 体 不 得 
阅读 和 修改 水 印 ,理想 情况 是 未 经 授权 的 客户 将 不 能 检测 到 产品 中 是 否 有 水 印 存在 。 

(4) 可 证 明 性 : 在 实际 的 应 用 过 程 中 ,可 能 多 次 加 入 水 印 ,那么 数字 水 印 技术 必须 能 够 
允许 多 重水 印 嵌 入 被 保护 的 数据 , 且 每 个 水 印 均 能 独立 地 被 证 明 。 

数字 水 印 主要 应 用 在 以 下 几 个 方面 "3 ， 

(1) 版 权 保护 : 数字 作品 的 所 有 者 可 用 密 钥 产 生 水 印 ,并 将 其 嵌入 原始 数据 ,然后 公开 
发 布 其 水 印 版 本 作品 。 当 该 作品 被 盗版 或 出 现 版 权 纠纷 时 ,所 有 者 即 可 从 被 盗版 作品 中 获 
取水 印信 号 作为 依据 ,从 而 保护 其 合法 权益 。 

(2) 数字 指纹 : 为 避免 数字 作品 未 经 授权 被 复制 和 发 行 ,版 权 所 有 人 可 以 向 分 发 给 不 
同 用 户 的 作品 中 嵌入 不 同 的 水 印 以 标识 用 户 的 信息 。 该 水 印 可 根据 用 户 的 序号 和 相关 的 信 
息 生 成 ,一 旦 发 现 未 经 授权 的 复制 ,就 可 以 根据 此 复制 所 恢复 出 的 指纹 来 确定 它 的 来 源 。 

(3) 认证 和 完整 性 校 验 : 通常 采用 脆弱 水 印 。 对 插入 了 水 印 的 数字 内 容 进行 检验 时 ， 
需 用 唯一 的 与 数据 内 容 相关 的 密 钥 提取 出 水 印 , 然 后 通过 检验 提取 出 的 水 印 完整 性 来 检验 
数字 内 容 的 完整 性 。 一 旦 发 现 水 印 遭 到 破坏 ,就 表示 内 容 已 经 被 改动 过 了 。 其 优点 在 于 , 认 


证 同 内 容 密 不 可 分 ,因此 简化 了 处 理 过 程 。 
CD 访问 控制 : 利用 数字 水 印 技术 可 以 将 访问 控制 信息 嵌入 到 媒体 中 ,在 使 用 媒体 之 
前 通过 检测 嵌入 到 其 中 的 访问 控制 信息 ,以 达到 访问 控制 的 目的 , 它 要 求 水 印 具 有 很 高 的 鲁 


棒 性 。 
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(5) 信息 隐藏 : 数字 水 印 可 用 于 作品 的 标识 、 注 释 、 检 索 信 息 等 内 容 的 隐藏 ,这 样 不 需 
要 额外 的 带宽 , 且 不 易 丢 失 。 另 外 ,数字 水 印 技术 还 可 以 用 于 隐蔽 通信 ,这 将 在 国防 和 情报 


部 门 得 到 广泛 的 应 用 。 


5.3.2. 数字 水 印 的 基本 原理 和 评价 标准 


1. 常规 的 嵌入 检测 框架 


图 5. 3.1 所 表示 的 是 常规 水 印 嵌 入 模型 ,其 功能 是 根据 密 钥 KEY 生成 水 印信 号 W, 通 
过 一 定 的 方法 加 入 原始 数据 中 ,得 到 嵌入 了 水 印 的 作品 。 在 水 印信 号 生成 过 程 中 ,通常 是 需 
要 原始 数据 的 ,其 作用 是 使 生成 的 水 印信 和 号 与 原始 数据 相关 , 即 在 不 同 的 数据 中 符 入 的 水 印 
信号 各 不 相同 。 图 5. 3. 2 是 常规 的 水 印 检测 模型 ,其 功能 是 根据 KEY 生成 水 印信 号 WW, 然 
后 与 待 测 数据 进行 水 印信 号 相似 性 检测 ,判断 是 否 存在 水 印 。 生 成 水 印信 号 是 否 使 用 待 测 
数据 需 与 水 印 嵌 人 过 程 中 的 生成 方法 一 致 。 一 些 水 印 技术 (如 私有 水 印 ) 中 ,检测 过 程 需要 
使 用 原始 数据 ,以 便 有 效 解决 一 些 水 印 鲁 棒 性 问题 ,但 这 同时 也 带 来 了 一 些 额 外 的 开销 和 安 


KEY 


待 测 数据 


水 印信 号 BAKE 
生成 水 E= ea po aga 
原始 数据 nl l 
l 个 
图 5.3.1 常规 的 水 印 嵌 入 模型 
KEY 水 印信 号 
生成 水 印 = 1/0 


j 


图 5.3.2 水 印 检测 模型 


常规 的 数字 水 印 技术 框架 可 以 定义 为 六 元 组 (X,K,W,G,E,D)D5 ,其 中 ， 
(1) X 表示 未 加 入 水 印 的 原始 数据 。 
(2) K 表示 水 印 密 钥 , 常 由 标识 数字 序列 ,例如 整数 序列 等 组 成 。 

(3) W 表示 由 数据 序列 X 和 水 印 密 钥 开 生成 的 水 印信 和 号 序列 ,其 定义 如 下 : 


W = {wk) | w(k) € Usk € W°} 


(5.3.1) 


水 印信 号 可 为 二 值 的 形式 3 , 即 水 印信 号 序列 中 的 每 个 值 vo GO ,其 取 值 范围 U = 


(0,1) 71,1] ;也 可 以 高 斯 噪声 的 形式 "9 出 现 。 W 表示 水 印信 号 空间 ,而 d 表示 其 维 
Bd —1.2.3 分 别 表示 音频 、 图 像 和 视频 水 印 。 
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(4) G 表示 从 数据 序列 X 和 水 印 密 钥 K 生成 水 印信 号 W 的 算法 : 
W = G(X,K) (5.3. 2) 
二 值 形式 的 水 印信 号 通常 基于 伪 随机 数 产 生 器 或 者 混沌 系统 ;而 高 斯 伪 噪 声 信号 或 者 
m- 序 列 则 可 以 通过 提供 很 长 的 不 相关 信和 号 序列 来 产生 ,以 保证 其 足够 的 安全 性 。 另 外 , 生 
成 的 水 印 可 能 需要 进一步 的 变换 ,以 便 更 适合 于 府 入 到 数据 中 。 为 了 便于 分 析 , 可 将 G 分 
解 为 两 个 部 分 : 
G=T-R 
W=R(K), W=T(W,X) 
第 1 部 分 中 的 尺 表示 从 密 钥 K 生成 原始 水 印 的 变换 过 程 ,整个 过 程 仅 依赖 于 K. WR 
R 基于 随机 数 生成 器 , 则 K 可 直接 映射 为 生成 随机 数 所 需 的 种 子 (seed); 而 如 果 基 于 混沌 
系统 , 则 K 可 通过 一 些 简单 变换 以 成 为 混沌 系统 的 初始 条 件 。 上 述 两 种 情况 R 都 满足 了 密 
钥 的 唯一 性 ,并 且 生 成 的 现 是 K 的 合法 水 印 ; 另 外 ,企图 通过 RR 的 逆 变 换 来 求 得 密 钥 K 实 
际 上 是 不 可 行 的 。 
第 2 部 分 中 的 是 可 选 的 处 理 过 程 ,表示 将 R 生成 的 原始 水 印 修 改 为 与 被 保护 数据 内 
容 相关 的 水 印 ,T 只 看 重 数据 的 一 些 显著 的 特征 ,比如 数据 在 处 理 过 程 中 比较 鲁 棒 不 易 丢 失 
的 那些 特征 等 。 如 果 在 大 量 数据 中 敌 入 同样 的 水 印 ,攻击 者 可 以 通过 统计 的 方法 将 数据 加 
以 琶 加 ,以 估计 出 水 印信 和 号 ,而 通过 数据 相关 的 处 理 , 即 使 采用 相同 的 原始 水 印 ,对 不 同 的 数 
据 得 到 的 水 印 也 不 相同 ,因此 可 以 避免 此 类 攻击 。 
C) EE 表示 将 水 印信 号 W 嵌入 数据 序列 X。 得 到 加 密 后 的 序列 Xo 的 算法 : 


(5.3.3) 


X, = E(Xo,W) = Xo af (Xo,W) (5.3.4) 
其 中 ,最 常用 且 最 简单 的 水 印 戏 入 算法 如 下 : 
加 法 规则 : Zw(k)=zo(k) taw(k) (5.3.5) 
乘法 规则 : Tw (k)=zo(k) tax (kh) wk) (5. 3. 6) 
为 了 保证 在 不 可 见 的 前 提 下 , 尽 可 能 地 提高 嵌入 水 印 的 强度 ,wa 的 选择 必须 考虑 图 像 的 
性 质 和 视觉 系统 的 特性 。 
(6) D 表示 水 印 检 测算 法 : 
1. W 存在 
D(X,K) = M Wash (5.3. 7) 


不 论 水 印 是 否 受到 攻击 而 造成 失真 或 者 水 印 根本 就 不 存在 ,都 可 以 通过 相似 性 测量 检 
测 出 来 。 有 多 种 办 法 可 以 度量 原始 水 印 和 提取 的 水 印 之 间 的 相似 程度 ,最 常用 的 是 基于 相 
关 性 的 测试 。 先 用 密码 和 待 检测 的 图 像 算 出 水 印 W" ,通常 情况 下 提取 出 的 水 印 W” 与 原 
始 水 印 W 不 相等 ,然后 用 下 面 的 公式 进行 计算 : 


sim(W* ,W) = (5.3.8) 
ike A TAB AN kt W" WR. 
sim(W* .W) >T (5.3.9) 


工 的 选择 要 基于 一 定 的 虚 警 概率 和 漏 警 概率 。 检 测 过 程 可 能 包含 两 个 错误 ,一 是 实际 
上 没有 水 印 , 却 检测 出 有 水 印 ; 二 是 实际 上 有 水 印 , 却 没有 检测 到 水 印 。T 工 减 小 , 则 漏 警 概率 
降低 而 虚 警 概率 提高 ;T 增 大 , 则 虚 警 概率 降低 而 漏 警 概率 提高 。 


第 5 章 基于 应 用 层 组 播 的 视频 安全 


2. 性 能 评价 

在 实际 应 用 中 ,数字 水 印 会 面临 各 种 问题 ,包括 数据 处 理 和 人 为 攻击 所 带 来 的 破坏 ,大 
致 分 类 如 下 : 一 般 信号 处 理 , 包 括 滤波 .平滑 、 增 强 、 有 失真 压缩 等 ;几何 变化 ,包括 旋转 、 缩 
放 、 分 割 等 ;诱惑 攻击 , 即 试图 通过 伪造 原始 图 像 和 原始 水 印 来 迷惑 版 权 保护 ,也 称 为 IBM 
攻击 ;删除 攻击 , 即 针对 某 些 水 印 方法 通过 分 析 水 印 数据 ,估计 图 像 中 的 水 印 , 然 后 将 水 印 从 
图 像 中 分 离 出 来 并 使 水 印 检测 失效 。 水 印 算法 的 评估 主要 有 以 下 3 种 评价 标准 : 

CD. fi BREE SNR 和 峰值 信 噪 比 PSNR 

在 实验 中 ,我 们 使 用 信 噪 比 (signal noise ratio,SNR) 和 峰值 信 噪 比 (peak signal noise 
ratio, PSNR) 作为 内 入 水 印 后 图 像 质 量 的 评估 标准 , 它 是 一 种 客观 评价 标准 。 信 噪 比 
(SNR) 和 峰值 信 品 比 (PSNR) 分 别 定义 为 (单位 分 贝 , dB): 


2 
SNR —— 10 lg & (5. 3. 10) 
D 
PSNR —— 10 lg Me (5.3.11) 
1 N-1 1 N-1 
2 " 3 ud = 
c NÈ 3x. zx Nut (5. 3.12) 
1 N-1 
D- MG —z) (5.3.13) 
N d-0 


zi 表示 原 图 的 像素 值 ,z; 表示 输出 图 像 的 像素 值 , N 表示 图 像 的 像素 个 数 ,[0,M 一 1] 
为 图 像 像素 值 的 取 值 范围 。 

(2) KERRO 

在 给 定 水 印 和 图 像 质量 标准 的 前 提 下 , 某 些 水 印 系 统 可 以 测 出 水 印 的 最 大 长 度 和 强度 。 
水 印 容量 越 大 ,所 含 版 权 信息 越 多 ,而 不 可 见 性 会 随 之 下 降 。 

(3) 鲁 棒 性 

数字 水 印 算法 的 鲁 棒 性 常用 攻击 测试 来 进行 评价 ,常见 的 攻击 测试 包括 5 . 低 通 滤 
波 、 色 彩 量化 、 按 比例 缩放 、 剪 切 .旋转 、 对 称 或 非 对 称 剪 切 (X,Y 方向 )、 对 称 或 非 对 称 行 和 
列 移动 .普通 线形 几何 变换 JPEG 压缩 、 小 波 压缩 等 。 除 了 上 述 基 本 的 攻击 测试 以 外 ,近年 
来 又 出 现 了 统计 平均 攻击 和 引发 多 著作 权 的 问题 "9 。 


5.3.3 水 印 技术 分 类 


5331 按照 应 用 媒体 分 类 


数字 水 印 按照 应 用 媒体 分 类 如 图 5. 3. 3 所 示 。 

文本 水 印 ,基本 上 是 利用 文档 的 特点 ,数字 水 印信 息 通 过 轻微 调整 文档 中 的 某 些 结构 
(包括 垂直 移动 行距 .水 平 调整 字 距 .文字 特性 等 ) 来 完 
成 信息 嵌入 。 文 本 数字 水 印 所 采用 的 算法 一 般 仅 适用 
于 文档 类 , 且 鲁 棒 性 差 , 如 改变 字体 之 后 ,嵌入 的 水 印 
信息 就 丢失 了 。 文本 像 音频 视频 

图 像 水 印 , 基 本 上 是 利用 图 像 的 特点 ,将 水 印信 息 
嵌入 到 图 像 数据 中 ,这 种 方法 利用 人 类 的 视觉 特点 ,在 


按 应 用 媒体 分 类 


图 5.3.3 数字 水 印 按照 应 用 媒体 分 类 
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嵌入 信息 的 同时 , 尽 可 能 地 降低 对 原 有 图 像 质量 的 影响 。 

音频 水 印 ,利用 人 类 听觉 系统 (human auditory system, HAS) AY Fr à HE AK ED i A BF 
频 信 号 中 ,这 种 水 印 需要 具有 很 强 的 鲁 棒 性 和 不 可 感知 的 特性 。 

视频 水 印 是 图 像 水 印 的 扩展 , 它 需 要 实时 地 提取 和 检测 ,与 音频 水 印 同样 ,需要 具有 不 
可 见 性 和 很 强 的 鲁 棒 性 ,以 避免 压缩 编码 对 水 印 带 来 的 影响 。 


5332 按照 水 印 特点 分 类 


由 图 5. 3.4 可 以 看 出 ,水 印 技术 可 以 分 为 可 见 (Cvisible) 水 印 和 不 可 见 (Cinvisible) 水 印 。 
可 见 水 印 用 于 在 媒体 中 加 入 明显 的 版 权 信息 来 


按 水 印 的 特点 分 类 证 明 该 媒体 作品 的 所 有 权 , 主 要 充当 标志 和 商标 

aum 等 。 可 见 水 印 的 好 处 是 直观 ,但 易于 被 采用 非法 
可 见 不 可 见 手段 检测 到 或 删除 掉 。 

一 一 了 一 一 不 可 见 水 印 是 最 常用 的 水 印 技术 , 它 利用 了 

naka | wen || megg] 人 类 视觉 系统 的 特点 ,使 得 隐藏 在 数据 中 的 水 印 


无 法 通过 肉眼 分 辨 出 来 。 它 可 以 分 为 稳健 
(robust) 7K EP, Wë 55 (fragile) 7K ED #0 Æ fé 55 
(semi-fragile) 水 印 。 稳 健 水 印 技术 最 重要 的 因素 之 一 就 是 鲁 棒 性 ,即使 数据 受到 较 大 程度 
上 的 修改 或 损坏 ,嵌入 其 中 的 水 印 也 能 保存 下 来 。 该 技术 广泛 应 用 于 媒体 版 权 保护 .访问 控 
制 等 领域 。 

脆弱 水 印 对 攻击 非常 敏感 ,很 容易 被 破坏 掉 , 这 种 水 印 技术 通常 用 来 保护 信息 的 完整 
性 。 但 是 在 多 媒体 应 用 中 ,加 入 了 认证 水 印 的 多 媒体 内 容 ,很 多 情况 下 仍 会 受到 一 定 程度 上 
的 修改 ,这 些 修改 是 在 许可 范围 内 的 ,这 时 脆弱 水 印 就 不 青 适用 了 。 因 此 人 们 采取 了 折 中 的 
办 法 ,提出 了 半 脆 弱 水 印 的 方法 。 这 种 水 印 技术 对 一 些 可 接受 的 保证 内 容 不 变 的 操作 (比如 
压缩 和 信号 增强 等 ) 有 着 很 好 的 鲁 棒 性 ,不 会 受 其 影响 而 导致 冰 印 破坏 ;而 对 于 其 他 恶意 的 
操作 (比如 增加 或 删除 内 容 ) 则 很 脆弱 ,很 容易 被 破坏 掉 。 


5333 按照 水 印 处 理 过 程 分 类 


图 5. 3. 5 中 按照 生成 .嵌入 和 检测 过 程 分 别 对 水 印 技术 进行 分 类 介绍 。 生 成 过 程 中 ,用 
作 水 印信 号 的 可 以 是 噪声 和 图 像 。 常 用 于 水 印信 号 的 噪声 包括 3 种 : 伪 噪 声 序列 、 高 斯 随 
机 序列 和 混沌 序列 。 伪 噪声 序列 是 使 用 最 广泛 的 一 类 噪声 ,用 它 生 成 水 印 简单 .快速 ,有 很 
好 的 自 相关 函数 性 质 ,而 且 对 密码 攻击 的 抵抗 性 能 好 。 高 斯 随机 序列 , 即 按照 高 斯 分 布 
N(0,1) 进 行 随机 生成 的 序列 ,该 序列 同样 具有 很 好 的 自 相关 函数 性 质 , 常 用 在 多 次 嵌入 水 
印 的 提取 过 程 中 。 混 沌 现象 是 非 线性 动力 系统 中 出 现 的 确定 性 的 、 类 似 随 机 的 过 程 , 它 对 初 
值 条 件 敏 感 ,而 且 有 着 依赖 性 ,可 以 提供 数量 众多 、 非 相关 、 类 似 随机 而 又 确定 可 再 生 的 信 
号 。 因 此 ,利用 混沌 序列 作为 水 印信 号 ,易于 生成 ,而 且 用 它 作 为 嵌入 和 检测 提取 信号 的 密 
钥 不 仅 简 单 而 且 实 用 。 

当 用 图 像 作 水 印信 号 时 ,包括 二 值 图 案 (binary pattern) 邮戳、 标志 等 ,其 最 大 的 优点 
在 于 提取 出 水 印 后 ,可 以 很 直观 地 辨别 出 来 。 并 且 , 用 线性 反馈 移 位 寄存 器 、 哈 希 函 数 等 可 
以 使 水 印 生成 随机 化 。 混 沌 序列 的 缺点 是 不 适用 于 多 次 嵌入 水 印 处 理 。 


图 5.3.4 数字 水 印 按 其 特点 分 类 


按 处 理 过 程 分 类 
( l 
生成 水 印 RAKEI 检测 水 印 
( l i l 
噪声 图 像 空域 频 域 私有 | | 半 私有 | | 公有 
C l i 
rn FH DCT | |DWT| | DFT 


图 5.3.5 数字 水 印 按照 处 理 过 程 分 类 


水 印 按照 嵌入 过 程 可 以 分 为 空域 水 印 和 频 域 水印 两 种 。 其 优 缺 点 比较 见 表 5. 3. 1。 空 
域 水 印 将 数字 水 印 按照 菜 种 算法 直接 释 加 到 图 像 的 空间 域 上 , 称 为 空域 水 印 算法 。 因 考 
虑 了 视觉 上 的 不 可 见 性 ,水 印 一 般 是 说 入 到 图 像 中 最 不 重要 的 像素 位 (least significant 
bits,LSB) 上 ,其 中 最 简单 的 水 印 方案 可 以 用 水 印信 息 代 替 图 像 的 一 个 或 多 个 最 低 有 效 位 平 
面 。 另 外 一 种 常用 方法 是 利用 像素 的 统计 特征 将 信息 嵌入 像素 的 亮度 值 中 ,比较 常见 的 有 
Patchwork 算法 。 空 域 水 印 实现 过 程 还 可 以 分 为 基于 像素 点 和 基于 图 像 分 块 两 种 ,LSB 通 
常 是 基于 像素 点 的 值 ,而 Patchwork 则 是 基于 图 像 分 块 的 亮度 值 。 


表 5.3.1 空域 水 印 和 频 域 水 印 的 优 缺 点 比较 
分 类 优点 缺点 


抵抗 图 像 的 几何 变形 .噪声 和 图 像 奈 
缩 的 能 力 较 差 , 而 且 如 果 确 切 知道 了 
数字 水 印 隐 藏 在 哪儿 位 LSB 中 , 数 
字 水 印 将 很 容易 被 擦 除 或 绕 过 


计算 速度 较 快 , 而 且 很 多 算法 在 提取 和 验证 水 印 的 
存在 时 不 需要 原始 图 像 
可 嵌入 的 水 印 容量 较 大 


空域 
水 印 


嵌入 的 水 印信 和 号 能 量 可 以 分 布 到 空域 的 所 有 像素 
上 ,保证 了 不 可 见 性 

频 域 人 类 视觉 的 某 些 特性 (如 频率 特性 ) 可 以 很 方便 地 结 | 频 域 水 印 嵌 入 和 提取 信息 操作 较为 
水 印 合 到 水 印 编码 过 程 中 ,有 利于 提高 水 印 的 不 可 见 性 | 复杂 ,而 且 拭 入 的 信息 量 不 能 很 大 
变换 域 的 方法 可 与 国际 数据 压缩 标准 兼容 ,从 而 实 
现在 压缩 域内 的 水 印 算法 。 加 快 水 印 嵌 入 速度 


频 域 水 印 是 将 图 像 作 某 种 变换 (一 般 是 正 交 变换 ) ,然后 把 水 印 嵌 入 到 图 像 的 变换 域 中 ， 
称 为 水 印 的 频 域 或 变换 域 算法 ,如 DCT Jak, Wavelet 变换 域 .Fourier 变换 域 . 分 形 或 其 他 变 
换 域 等 。 通 过 变换 ,水 印信 息 将 分 布 到 原始 数据 整个 空间 里 ,所 以 水 印 一 旦 嵌入 ,要 将 其 删 
除 是 很 困难 的 。 绝 大 部 分 算法 是 基于 DCT 域 的 , 先 将 图 像 分 割 成 互 不 重 又 的 8X8 的 块 , 然 
后 对 每 块 进行 DCT 变换 ,将 水 印信 息 释 加 到 数据 信号 的 中 低频 分 量 系 数 上 ,然后 再 IDCT 
变换 回去 , 便 得 到 加 入 水 印 后 的 图 像 。 对 不 同 的 水 印 戏 入 算法 ,都 存在 有 相应 的 提取 和 检测 
算法 与 之 配套 ,所 以 在 此 不 对 检测 算法 按 前 述 方法 进行 分 类 。 

在 水 印 检测 过 程 中 ,由 于 媒体 不 同 的 需要 ,水 印 技术 可 以 分 为 私有 水 印 , 半 私有 水 印 和 
公有 水 印 ,它们 的 区 别 在 于 是 否 需要 原始 数据 。 当 前 大 多 数 的 方案 都 可 以 归 为 私有 水 印 和 
半 私 有 水 印 之 类 。 私 有 水 印 在 检测 过 程 中 需要 原始 数据 ,该 技术 通过 对 可 能 加 入 过 水 印 的 


i48: 网 络 安全 控制 机 制 


数据 与 原始 数据 的 比较 来 提取 水 印 。 半 私有 水 印 与 私有 水 印 相 比 ,在 进行 检测 的 过 程 中 ,不 
需要 原始 数据 。 公 有 水 印 既 不 需要 原始 数据 ,也 不 需要 嵌入 数据 的 水 印信 号 ,可 直接 从 含有 
水 印信 息 的 数据 中 进行 特征 统计 分 析 以 判断 是 否 嵌 有 水 印 , 所 以 也 称 作 言 测 。 


5.3.4 ”数字 水 印 典 型 算法 


近年 来 ,国际 上 数字 水 印 技术 的 研究 发 展 很 快 ,新 技术 、 新 算法 层出不穷 。 水 印 算法 大 
致 可 以 分 为 两 类 , 即 空 域 水 印 和 频 域 水 印 , 后 者 通常 也 称 为 变换 域 水 印 , 目 前 很 多 新 的 水 印 
算法 都 是 基于 变换 域 的 。 


5341 空域 算法 


Schyndel 算法 9" 当 提出 了 一 些 关 于 水 印 的 重要 概念 和 重 棒 水 印 检测 的 通用 方法 , 即 相 
关 性 检测 方法 。 该 算法 首先 将 一 个 密 钥 输入 到 一 个 m- 序 列 (maximum-length random 
sequence) 发 生 器 来 产生 水 印信 号 ,然后 排列 成 二 维 水 印信 号 , 按 像素 点 逐一 符 入 到 原始 图 
像 像素 值 的 最 低位 上 。 其 中 ,m- 序 列 是 由 一 些 初 始 向 量 按照 Fibonacci 递归 数列 的 关系 运 
算 生成 的 ,也 可 以 用 线性 移 位 寄存 器 实现 。 如 果 每 个 向 量 的 长 度 为 ”或 移 位 寄存 器 的 级 数 
为 n, 则 生成 的 m- 序 列 长 度 最 大 为 2 一 1。m- 序 列 的 自 相关 函 数 和 频谱 分 布 的 特点 类 似 于 随 
机 高 斯 噪声 。 检 测 的 时 候 ,通过 计算 m- 序 列 和 水 印 图像 行 的 相关 函数 来 判断 是 否 存 在 水 印 。 
由 于 Schyndel 算法 将 水 印信 号 安排 在 像素 点 的 最 低位 上 , 它 是 不 可 见 的。 但 基于 同样 的 原因 ， 
水 印信 息 很 容易 为 滤波 、 图 像 量化 、 几 何 变形 等 操作 所 破坏 ,因此 是 不 鲁 棒 的 。 

Patchwork 算法 69 是 通过 改变 图 像 数 据 的 统计 特性 来 将 信息 嵌入 到 像素 的 亮度 值 中 。 
Patchwork 算法 是 随机 地 选择 N 对 像素 点 (ai sbi) ,这 些 随机 选取 的 两 个 像素 点 的 差 值 是 以 
0 为 中 心 的 高 斯 分 布 。 然 后 将 a; 点 的 亮度 值 加 1,5; 点 的 亮度 值 减 1, 这 样 来 改变 分 布 的 中 
心 , 并 且 使 得 整个 图 像 的 平均 亮度 保持 不 变 。 最 后 采用 统计 的 方法 来 对 水 印 进行 检测 。 为 
了 抵抗 诸如 有 损 压缩 以 及 滤波 的 处 理 , 它 将 像素 点 对 扩展 成 小 块 的 像素 区 域 (patch) ,增加 
一 个 patch 中 的 所 有 像素 点 的 亮度 值 ,同时 减少 对 应 另外 一 个 patch 中 所 有 像素 点 的 亮度 
值 。 这 种 算法 对 抵御 有 损 压 缩编 码 (JPEG) .剪裁 攻击 和 灰 阶 校正 非常 有 效 。 但 其 缺陷 在 于 
嵌入 的 水 印信 息 少 ,对 仿 射 变换 敏感 ,对 多 拷贝 联合 攻击 抵抗 力 比较 弱 。 

空域 水 印 的 其 他 算法 如 表 5. 3.2 所 示 。 


表 5.3.2 空域 水 印 的 其 他 算法 


提出 者 算法 描述 或 特点 
在 Schyndel 算法 的 基础 上 ,将 水 印 序列 扩展 到 二 维 。 具 体 方法 是 将 图 像 按照 水 印 图 
Delp 案 的 大 小 分 为 若干 个 块 , 然 后 将 水 印 添加 到 各 块 中 ,将 各 块 拼接 起 来 覆盖 整个 图 像 ， 
这 样 插入 的 水 印 序列 会 更 长 "3 
Cox 将 图 像 分 为 两 组 , 往 其 中 一 组 里 插入 一 个 正 数 5 
Kutter 修改 像素 点 的 值 ,通过 与 相 邻 像素 点 进行 比较 来 检测 3 
Pitas 向 图 像 分 块 的 亮度 信息 里 插入 位 流 数据 2 
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将 水 印信 号 租 入 到 多 媒体 信息 的 部 分 或 所 有 的 频带 上 ,同时 可 以 利用 人 类 的 视觉 系统 
(human visual system. HVS) 或 听觉 系统 (human auditory system. HAS) 特 性 中 的 掩盖 效 
应 (masking) ,在 人 类 感知 不 敏感 的 频带 加 入 幅度 较 强 的 水 印信 号 ,而 在 人 类 感知 敏感 的 频 
带 中 嵌入 较 少 的 水 印信 息 ,这 样 可 以 在 嵌入 水 印 的 同时 ,尽量 降低 对 原始 图 像 或 音频 信和 号 的 
质量 影响 ,提高 了 信息 隐藏 的 可 靠 性 。 如 果 企 图 消除 水 印 ,必须 在 所 有 的 频带 上 加 入 大 幅度 
的 噪声 ,而 这 将 严重 损坏 数据 的 质量 。 版 权 所 有 者 由 于 知道 水 印加 入 的 位 置 和 内 容 , 在 验证 
时 很 容易 把 扩散 到 所 有 频带 上 的 微弱 信号 集中 起 来 得 到 高 信 噪 比 的 水 印信 号。 

COD 扩展 频谱 通信 技术 

扩展 频谱 通信 (spread spectrum communication) 技 术 的 原理 为 : 先 计 算 图 像 的 离散 余 
弦 变 换 (DCT) ,然后 将 水 印 释 加 到 DCT 域 中 幅 值 最 大 的 前 K 个 系数 上 (不 包括 直流 分 量 )， 
通常 为 图 像 的 低频 分 量 。 若 DCT 系数 的 前 K 个 最 大 分 量 表示 为 D={di}, i=1,2,*…,K， 
JK Ep FE AR JA. ea 3r 4) BY BLS BF W= {ww}. i=1,2,…, 开 ,那么 水 印 的 嵌入 算法 为 d? 
三 d; 十 adiwi;，, 其 中 常数 a 为 尺度 因子 ,控制 水 印 添加 的 强度 。 然 后 用 新 的 系数 作 反 变 换 得 
到 水 印 图 像 X" 。 解 码 函 数 则 分 别 计 算 原 始 图 像 X 和 水 印 图 像 X "的 离散 余弦 变换 ,并 提 
取 嵌 和 的 水 印 克 ,再 作 相关 检验 sim(W^ WO =W" - W/W Di i 2K Ende ddr HE. 
该 方法 即使 当 水 印 图 像 经 过 一 些 通 用 的 几何 变形 和 信号 处 理 操作 而 产生 比较 明显 的 变形 后 
仍然 能 够 提取 出 一 个 可 信赖 的 水 印 。 

(2) NEC 算法 

NEC 算法 [外 由 NEC 实验 室 的 Cox 等 人 提出 ,在 数字 水 印 算法 中 占有 重要 地 位 。 其 工 
作 原 理 是 ,首先 由 作者 的 标识 码 和 图 像 的 哈 希 值 等 组 成 密 钥 ,以 该 密 钥 为 种 子 来 产生 伪 随 机 
序列 ,该 序列 具有 高 斯 NC0,1) 分 布 。 再 对 图 像 作 DCT 变换 ,用 该 伪 随 机 高 斯 序列 来 调制 
EIM FARR EL Ie CDC) 4p hit SEY 1000 个 最 大 的 DCT 系数 。 该 算法 具有 较 强 的 鲁 棒 性 、 安 
全 性 .透明 性 等 。 由 于 采用 特殊 的 密 钥 和 不 可 逆 的 水 印 生成 方法 ,因此 可 以 有 效 防止 TBM 
攻击 。 而 且 该 算法 还 提出 了 增强 水 印 鲁 棒 性 和 抗 攻击 算法 的 重要 原则 ,文献 [19] 建 议 水 印 
信号 应 该 嵌入 到 图 像 频 域 中 可 见 性 最 主要 的 部 分 ,这 样 可 以 增强 抵抗 常规 信号 处 理 和 几何 
失真 ,以 提高 检测 出 水 印 的 概率 。 另 外 , 待 嵌入 的 水 印信 号 要 巾 独立 同 分 布 随机 实数 序列 构 
成 ,并 且 该 实数 序列 应 该 具有 高 斯 分 布 N(0,1) 的 特征 。 

(3) 生理 模型 算法 

人 的 生理 模型 包括 人 类 视觉 系统 HVS 和 人 类 听觉 系统 HAS。 利 用 生理 模型 的 基本 
思想 均 是 利用 从 视觉 或 听觉 模型 导出 的 JND(just noticeable difference) 描 述 来 确定 在 图 像 
或 声音 的 各 个 部 分 所 能 容忍 的 数字 水 印信 号 的 最 大 强度 ,从 而 能 够 避免 破坏 视觉 或 者 听觉 
的 质量 。 也 就 是 说 ,利用 生理 模型 来 确定 与 数据 相关 的 调制 掩 模 , 然 后 再 利用 其 来 谨 入 水 
印 。 这 一 方法 同时 具有 好 的 透明 性 和 重 棒 性 。 

(4) 压缩 域 算法 

基于 JPEG 和 MPEG 标准 的 压缩 域 数字 水 印 系统 ,其 水 印 检测 与 提取 可 直接 在 压缩 域 
数据 中 进行 ,节省 了 完全 解码 和 重新 编码 过 程 ,因此 在 数字 电视 广播 及 VOD 中 有 很 大 的 实 
用 价值 5 。 输 入 的 MPEG-2 数据 流 可 以 分 为 数据 头 信 息 、 运 动向 量 和 DCT 编码 信号 块 这 
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3 个 部 分 ,常见 的 方案 都 主要 是 对 DCT 编码 信号 块 进行 改变 ,如 H&G HE, BAR T. 
作 原 理 是 ,首先 对 DCT 编码 数据 块 中 的 Huffman 码 进行 解码 和 反 量 化 ,以 得 到 当前 数据 的 
DCT 系数 块 。 然 后 把 相应 水 印信 号 块 的 DCT 系数 与 视频 DCT 系数 相 加 ,从 而 得 到 带 有 水 
印 的 DCT 系数 ,再 重新 进行 量化 和 Huffman 编码 。 由 于 Huffman 编码 是 变 长 编码 方法 ， 
因此 加 入 水 印 前 后 的 码 长 可 能 会 发 生变 化 ,对 于 固定 码 率 的 MPEG-2 编码 流 , 需 要 对 新 的 
Huffman 码 字 的 位 数 n, 与 原始 数据 的 码 字 位 数 n 进行 比较 ,只 有 在 三 no 的 时 候 , 才 传 
输 水 印 码 字 ,否则 传输 原 码 字 , 这 样 就 保证 了 不 增加 视频 数据 流 码 率 。 

另外 ,由 于 嵌入 的 水 印信 号 实际 上 是 一 种 会 降低 视频 数据 质量 的 误差 信号 ,而 基于 运动 
补偿 的 编码 方案 会 将 一 个 误差 扩散 和 累积 起 来 ,可 能 会 影响 到 帧 间 编码 的 B,P 帧 ,因此 ， 
H&G 算法 提出 了 移 位 补偿 信号 。 移 位 补偿 信号 是 加 了 水 印 的 块 和 未 加 水 印 的 块 运动 补偿 
预测 的 差 值 。 在 受 影响 的 帧 里 减 去 这 个 差 值 , 就 能 将 误差 信号 删除 。 

Langelaar 等 人 5 也 提出 了 一 种 算法 ,该 算法 采用 了 一 种 新 的 信息 嵌入 机 制 ,无 需 重新 
编码 ,通过 去 掉 压缩 流 的 一 部 分 来 嵌入 标记 。 除 了 对 DCT 编码 进行 修改 之 外 ,Jordan 提出 
的 算法 5 还 能 够 将 水 印信 号 以 一 种 伪 随 机 方式 嵌入 到 运动 向 量 中 ,不 过 该 运动 向 量 必须 选 
择 指向 平坦 区 域 ,因为 此 时 修改 后 ,该 向 量 所 指 的 区 域 不 会 产生 可 见 的 修改 痕迹 。 

(5) 其 他 算法 

小 波 的 多 分 辨 率 分 解 算法 "4" 匀 是 将 水 印信 号 和 图 像 进 行 分 解 ,然后 在 相应 层次 上 加 
人 水 印 , 最 后 还 原 图 像 , 如 此 可 以 具有 较 强 的 稳健 性 ;基于 DFT 的 算法 ,如 算法 [19,27], 将 
水 印 插 入 到 每 个 数据 块 的 相位 信息 里 ,对 压缩 和 图 像 处 理 鲁 棒 性 好 ;基于 分 形 压 缩 和 编码 的 
水 印 算法 3] 主要 是 利用 分 形 中 的 自 相 似 概 念 和 和 迭代 函数 系统 (IFS) ,根据 拼 贴 原理 在 图 像 
的 空间 域 或 频 域 插入 水 印 。 
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K 5. 3. 3 对 一 些 常见 的 数字 水 印 算法 的 不 可 见 性 、 鲁 棒 性 ` 嵌 入 量 以 及 复杂 程度 进行 了 
分 类 比较 ,以 便 进一步 的 研究 。 总 体 来 说 , 频 域 水 印 的 不 可 见 性 比 空域 水 印 要 好 , 且 抗 攻击 
能 力 很 强 , 但 是 嵌入 量 较 小 ,计算 更 为 复杂 。 实 际 应 用 中 ,需要 选择 合适 的 算法 ,以 适应 不 同 


的 需求 。 
表 5.3.3 主要 算法 比较 
分 类 算法 名 称 不 可 见 性 抗 攻击 能 力 WAR 复杂 程度 
对 滤波 .图像 量化 、 
基于 LSB | Schyndel 算 法 poster 几何 变形 等 操作 抵 | 很 大 很 低 
" 抗 能 力 很 能 
对 有 损 压 缩编 码 、 
剪裁 攻击 和 灰 阶 校 | KAREI 
印 | 基于 亮度 t Bp 正 非常 有 效 。 对 仿 | 入 1 个 bit, 水 | 低 
; 射 变换 、 多 拷贝 联 | 印度 入 量 很 低 
合 攻击 比较 脆弱 


a 
分 类 算法 名 称 不 可 见 性 抗 攻击 能 力 Am | 复杂 程度 
K 可 见 性 好 ， it DCT 
yaan se oe KEIRA [X 
相同 BH | 量 较 大 
不 可 见 性 好 ,但 | 对 抑 何 变形 和 信号 | EASI DCT] y ys ae ge 
NEC — | 各 频段 水 印 强度 | 处 理 操作 很 重 样 ,| RME A | a i 
相同 对 IBM sitio He | 量 较 大 
基于 DCT 不 可 见 性 好 ,各 a | BEA SI DCT 
s | 对 几何 变形 和 信号 M Dez 
s 生理 模型 算 法 | 频段 水 印 强度 deme ie A | 高 
不 同 量 较 大 
对 视频 压缩 .剪辑 
水 tk A al DCT " 
"— 处 理 鲁 棒 性 好 。 革 d DET | 较 低 , at $e T 
印 RAINE (RMRI wea: sunt Qos 控 | REE RA | por a mer 
制 机 制 透 明 性 较 差 
m 插入 到 子 波段 | 对 于 图 像 分 
ae DWT| $279 | agg, | ERAS | 上， 如 和 量 | 块 ,高 于 DCT 
i 较 大 变换 
x: BAIER 
基于 DFT | 算法 [19,27] | 不 可 见 性 好 hi T 相位 信息 上 ,| 较 高 
i 嵌入 量 不 大 
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数字 水 印 技术 的 检测 过 程 通常 是 通过 计算 提取 出 来 的 水 印信 息 与 完整 水 印 之 间 的 相似 
性 ,高 于 一 定 阅 值 即 可 认为 水 印 存 在 。 从 这 方面 来 看 ,数字 水 印 技术 不 能 直接 应 用 于 密 钥 赔 
入 ,因为 密 钥 信息 对 错误 非常 敏感 ,任何 一 个 bit 的 错误 都 会 导致 该 密 钥 无 法 使 用 。 为 了 保 
证 嵌入 密 钥 的 安全 性 ,充分 利用 了 视频 图 像 区 域 的 亮度 统计 特性 ,设计 了 一 种 基于 压缩 域 水 
印 的 视频 亮度 调制 的 密 钥 戏 入 算法 。 


5.4.1 视频 加 密 概述 


针对 MPEG 视频 的 安全 传输 目前 已 经 提出 了 很 多 种 加 密 算法 。 最 直接 的 方法 称 为 “ 幼 
稚 ? 方 法 , 它 是 将 整个 MPEG 流 用 标准 的 加 密 技术 来 进行 加 密 。 但 是 ,由 于 视频 流 的 尺寸 通 
常 很 大 ,所 以 这 种 加 密 方 法 无 法 提供 很 高 的 处 理 速度 ,不 适合 实时 视频 加 密 。 

为 了 提高 处 理 效 率 , 人 们 提出 了 选择 性 加 密 算法 "中 。 该 算法 只 对 MPEG 视频 流 中 的 
I 帧 图 像 进行 加 密 。 但 是 ,Agi 和 Gong 等 人 [ 镁 指出 ,经 过 这 种 方法 加 密 后 的 图 像 ,仍然 能 够 
在 局 部 辨别 出 图 像 内 容 来 ,这 是 由 于 采用 帧 间 压 缩编 码 的 帧 和 一 些 未 加 密 的 帧 内 压缩 块 都 
具有 一 定 的 图 像 校正 能 力 。 

Meyer 和 Gadegast iit T — FAK WF MPEG 的 视频 流 格 式 , 称 为 SECMPEG iX 
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格式 结合 了 选择 性 加 密 和 附加 的 头 信息 。 但 是 ,该 格式 不 兼容 标准 的 MPEG ,而 需要 有 特 
殊 的 编 解码 器 的 支持 。Tang55 提 出 了 一 种 整合 了 压缩 和 加 密 在 一 起 的 方法 。 该 方法 的 基 
本 思想 是 利用 一 个 随机 的 排列 表 蔡 换行 程 编 码 中 的 zig-zag 顺序 。 该 方法 的 计算 负载 很 低 ， 
但 是 改变 zig-zag 顺序 会 使 得 视频 流 的 长 度 增加 25 96 ~ 60 24 ,这 样 对 于 视频 压缩 来 说 是 无 
法 让 人 接受 的 。Qiao 和 Nahrstedt[55 开发 了 一 种 视频 加 密 算 法 (video encryption 
algorithm, VEA) , 它 将 图 像 的 一 半 用 DES/IDEA 进行 加 密 , 而 另 一 半 用 “一 次 填充 (one- 
time-pad) ”的 方法 加 密 。 

Shi 和 Bhargaver*' 鸣 提出 了 一 种 快速 的 MPEG 视频 加 密 算法 ,该 算法 通过 密 钥 序 列 来 
随机 地 改变 所 有 DCT 系数 的 符号 位 以 及 运动 向 量 的 符号 位 以 达到 加 密 的 目的 。5. 4. 2 节 
将 提出 一 种 简化 的 实时 视频 加 密 算法 ,该 算法 基于 Shi 和 Bhargave 的 方法 ,二 者 的 区 别 在 
于 ,我 们 的 算法 采用 一 种 单 向 函数 (one-way function) 来 产生 加 密 序列 ,该 加 密 序列 与 帧 号 
和 会 话 密 钥 都 相关 ,这样 能 够 有 效 地 抵抗 统计 方法 的 密 钥 攻 击 。 该 算法 的 处 理 速度 远 远 超 
过 DES, 从 而 能 够 满足 视频 应 用 中 的 实时 处 理 的 需求 。 

考虑 到 视频 通信 中 一 定 的 特殊 性 ,选择 性 加 密 算法 (selective encryption) 的 研究 成 为 该 
领域 的 研究 热点 。 在 多 媒体 安全 领域 ,选择 性 加 密 通常 是 作为 传统 的 “ 硬 加 密 算 法 ”比如 
AES) 的 对 立 面 出 现 的 。 此 类 算法 并 不 追求 最 大 的 安全 性 ,而 是 通过 降低 安全 性 来 换取 加 密 
算法 的 效率 ,用 以 满足 某 个 特定 多 媒体 应 用 的 安全 需求 中 。 在 这 方面 比较 经 典 的 算法 
如 下 : 

(1) 基于 DCT 变换 的 视频 选择 性 加 密 算法 

该 方法 对 DCT 变换 之 后 的 频 域 系数 进行 加 密 , 具 体 的 加 密 方 法 各 有 不 同 。 相 对 于 传 
统 的 加 密 整 个 视频 流 的 方法 ,有 的 算法 只 对 视频 流 中 的 工 帧 进行 加 密 , 有 的 则 对 第 个 工 帧 
和 由 此 预测 产生 的 宏 块 头 进行 加 密 , 还 有 的 只 对 视频 流 中 工 帧 中 的 亮度 或 色 度 分 量 进行 加 
密 。 还 有 一 种 搜索 加 密 法 ,是 在 zig-zag 过 程 中 进行 加 密 ,采用 随机 的 排列 方法 将 DCT 系数 
块 转化 为 向 量 。 

(2) 基于 小 波 变换 的 视频 选择 性 加 密 算 法 

小 波 变换 的 图 像 编 码 方法 在 JPEG2000 和 MPEG-4 中 都 得 到 了 应 用 。 对 基于 小 波 变 
换 的 视频 的 选择 性 加 密 只 加 密 那些 与 变换 和 编码 过 程 相关 的 参数 ,采用 与 密 钥 相关 的 滤波 
器 来 重 构图 像 ,防止 未 经 许可 的 正确 的 重 构 。 

(3) 基于 量化 树 的 视频 选择 性 加 密 算 法 

量化 树 (quadtree) 是 一 种 图 像 压 缩 方法 , 树 的 每 个 节点 有 0 或 4 个 子 节点 ,有 0 个 子 节 
点 的 节点 就 是 叶 节点 。 如 果 图 像 是 一 致 均匀 的 , 则 根 节点 就 是 叶 节 点 ,如 果 不 是 , 则 图 像 分 
为 4 块 ,同时 在 树 上 添加 4 个 子 节点 。 然 后 对 每 个 新 的 子 节点 进行 同样 的 操作 搜索 。 这 种 
加 密 是 对 树 的 结构 进行 加 密 。 

CA). 面向 容错 的 和 视频 格式 兼容 的 选择 性 加 密 算法 

面向 容错 的 方法 采用 容错 加 密 函 数 , 对 每 一 个 传输 过 程 采用 不 同 的 排列 组 合 来 减少 已 
知 的 明文 攻击 ,同时 减少 数据 损失 。 兼 容 视频 格式 的 选择 性 加 密 是 对 已 经 采取 不 同 格式 压 
缩 后 的 内 容 进行 加 密 , 从 而 使 加 密 过 程 不 依赖 于 格式 本 身 。 这 种 方法 的 选择 性 体现 在 只 加 
密 含有 内 容 信息 的 部 分 。 

综 上 所 述 ,选择 性 加 密 的 核心 就 是 以 加 密 整 个 内 容 中 的 重要 部 分 来 防止 未 经 授权 的 观 


第 5 章 基于 应 用 层 组 播 的 视频 安全 


看 ,同时 保证 一 定 的 速度 和 尽量 低 的 计算 量 。 上 述 的 一 些 算法 虽然 各 有 特点 ,但 由 于 对 视频 
流 语法 结构 进行 了 较 大 的 调整 ,从 而 降低 了 处 理 效率 ,有 的 甚至 会 增 大 视频 流 的 长 度 ( 如 改 
变 zig-zag 顺序 )。 这 些 都 不 能 满足 视频 安全 传输 的 要 求 ,仍然 有 如 下 的 问题 没有 考虑 到 

(1) 应 对 统计 型 攻击 ,由 于 流 媒体 数据 量 较 大 ,这 样 对 统计 攻击 方法 提供 了 很 大 的 便利 
性 ,所 以 算法 一 定 要 考虑 如 何 避 免 统 计 型 攻击 ; 

(2) 容错 性 ,多 媒体 信息 在 通信 中 不 可 避免 地 会 遇 到 丢 包 与 误 码 等 问题 ,加 密 后 的 视频 
流 会 对 丢 包 更 敏感 ,因为 解密 时 如 果 有 丢 包 存 在 的 话 , 可 能 会 使 视频 质量 有 较 大 的 下 降 , 如 
何 提高 其 容错 性 ,对 视频 的 回放 质量 而 言 是 很 重要 的 ; 

(3) 实时 性 ,对 视频 流 的 加 解密 需要 很 高 的 处 理 效 率 ,以 免 影 响 正常 的 视频 回放 的 
效果 。 


5.4.2 ”基于 应 用 层 组 播 的 密 钥 管理 与 分 发 机 制 


安全 组 播 中 的 密 钥 管 理 包括 密 钥 生成 、 密 钥 分 发 、 密 钥 更 新 等 内 容 , 根 据 其 实现 机 制 的 
不 同 ,可 以 分 为 如 下 几 类 9 ， 

CD 基于 树 的 密 钥 管理 算法 , 即 通过 逻辑 树 对 组 密 钥 进行 管理 。 在 该 类 算法 中 ,根据 密 
钥 树 对 密 钥 进 行 组 织 和 管理 ,将 组 播 组 成 员 分 成 多 个 层次 的 子 组 播 组 ,以 减 小 密 钥 更 新 消息 
的 长 度 。 典 型 的 算法 如 : LKH 算法 ,该 算法 适用 于 通常 大 规模 组 播 中 ,如 Internet 广播 。 

(2) 基于 Diffie-Hellman 算法 的 密 钥 协 商 管理 算法 ,根据 Diffie-Hellman 算法 的 基本 原 
理 , 将 用 于 两 方 通信 的 Diffie-Hellman 算法 进行 扩展 ,以 支持 组 播 通信 ,通过 组 播 组 内 成 员 
共同 协商 创建 、 维 护 组 内 密 钥 信息 。 该 类 算法 主要 应 用 于 相对 规模 较 小 .具有 相对 功能 较 弱 
服务 器 (或 者 无 服务 器 ) 的 组 播 组 ,如 视频 会 议 。 

(3) 安全 组 播 框架 方案 ,该 方案 构建 的 组 播 组 为 分 布 式 系统 ,系统 通过 一 些 可 信任 的 代 
理 管理 组 内 的 各 个 子 组 ,分 担 主 控制 服务 器 的 负载 ,各 成 员 在 所 属 子 组 内 部 进行 密 钥 更 新 ， 
减 小 了 密 钥 更 新 消息 的 长 度 , 主 要 应 用 于 用 户 广 泛 分 布 的 通用 组 播 组 。 目前 ,结合 应 用 层 组 
播 的 特点 进行 密 钥 分 发 和 更 新 机 制 的 研究 尚 处 于 起 步 阶 段 。 不 同 的 应 用 层 组 播 协 议 , 其 覆 
盖 网 络 的 组 成 方式 区 别 很 大 ,应 用 层 组 播 的 密 钥 管理 要 结合 组 播 协议 的 覆盖 网 络 组 成 方式 
进行 研究 ,以 满足 系统 的 安全 性 、 可 扩展 性 、 实 时 性 和 高 效 性 。 

密 钥 管 理 的 目标 是 要 将 会 话 密 钥 安全 地 分 发 给 合法 用 户 ,以便 他 们 解密 组 播 数据 。 根 
dii Rafaelic5 的 文章 , 密 钥 管理 方法 可 以 分 为 3 种 类 型 : 集中 式 的 方法 、 分 布 式 子 组 的 方法 
以 及 分 布 式 的 方法 。 考 虑 到 自 适应 视频 应 用 的 特点 ,这 里 着 重 考虑 集中 式 的 方法 。 

在 这 些 集中 式 的 方法 中 ,我 们 主要 考虑 ELK Jr3k69 。ELK 采用 了 二 又 树 的 数据 结构 
来 管理 密 钥 。 与 其 他 类 似 的 方案 相 比 ,ELK 是 一 种 更 加 有 效 ,扩展 性 更 好 的 安全 协议 , 它 具 
有 以 下 特点 : 

(1) 当 用 户 加 入 时 不 需要 组 播 密 钥 更 新 消息 (rekey message) ,因为 此 时 用 户 能 够 自己 
计算 并 更 新 其 手中 的 密 钥 ,而 不 需要 任何 额外 的 资料 参与 计算 ; 

(2) ELK 中 的 密 钥 更 新 消息 长 度 固定 , 且 比 其 他 方案 要 短 ; 

(3) ELK 能 够 可 靠 地 进行 密 钥 更 新 消息 的 分 发 ,而 不 需要 可 靠 组 播 协议 的 支持 ; 

(4) ELK 在 数据 中 戏 和 人 了 少量 的 暗示 印迹 ,该 方法 能 让 用 户 通过 计算 来 恢复 丢失 的 密 


钥 更 新 消息 。 总 的 来 说 ,ELK 在 安全 性 和 通信 负载 上 实现 了 折 中 。 
R541 常见 的 集中 式 方法 的 性 能 比较 


密 钥 管理 的 特点 安全 性 密 钥 更 新 消息 的 大 小 
基于 | 单项 | 具有 | 密 铀 | 前 向 | 后 向 | 抵抗 用 户 加 入 
函数 | 可 扩 | 恢复 | 机密 | 机密 | 同谋 用 户 退出 
树 | 展 性 性 | 性 | 破解 组 播 单 揪 
GKMP 和 否 | 否 | 否 | 否 | 是 | 否 | 是 2K 2K 一 
A Flat Table| f; | & | & | 8| 2Klogn K (logn-- D) 2Klogn 
LKH 是 E 是 否 是 | 是 | 是 K(2d—1) K(d+1) 2Kd 
OFT 是 -| 基 是 f 是 | 是 是 K(d+1) K(d+1) K(d+1) 
A OFCT 是 | 是 | 是 | 否 | 是 | 是 | 是 Kd K(d+1) K(d+1) 
f ELK 是 | 是 | 是 | 是 | 是 | 是 | 是 0 K(d+1) m+n 
4 acary 是 | 否 | 是 | 否 | 是 | 是 | 是 | K(2logn 一 1) K Clogn+ 1) aKlogn 
fer [Ajala ajaja] Tom AT 


ni 组 成 员 个 数 ; a: 树 的 度数 ; m: cluster 的 大 小 ; K: 密 钥 的 长 度 (bib; d: 树 的 高 度 ; m: 左 子 节点 贡献 的 长 度 ; 
m: 右 子 节点 贡献 的 长 度 。 


5.4.3 ”基于 视频 的 可 靠 密 钥 嵌入 算法 


本 节 提 出 的 密 钥 嵌 入 算法 具有 较 强 的 差错 恢复 功能 和 对 一 些 QoS 机 制 (如 转 码 器 ) 的 
透明 性 。 算法 参考 了 数字 水 印 中 的 压缩 域 水 印 技术 ,以 及 许多 其 他 类 型 的 算法 ,如 
Patchwork 算法 ,NEC 算法 等 。 在 压缩 域 中 嵌入 水 印 , 可 以 省 去 大 量 的 DCT/IDCT 变换 的 
时 间 , 且 有 效 提高 了 算法 运行 的 效率 。 通 过 修改 DCT 系数 以 达到 调制 图 像 区 域 平均 亮度 
的 效果 ,从 而 达到 密 钥 嵌 入 的 目的 。 该 算法 在 密 钥 蔡 入 的 基础 上 ,通过 将 嵌入 信息 进行 RS 
编码 和 采用 信息 元 余 的 办 法 ,因此 具有 很 强 的 差错 恢复 的 功能 和 对 自 适应 机 制 的 透明 性 。 
另外 ,算法 的 设计 充分 考虑 到 了 实时 性 和 对 视频 质量 的 较 低 的 影响 ,并 且 能 够 方便 地 与 已 有 
的 密 钥 分 发 机 制 结合 起 来 ,为 视频 组 播 应 用 提供 访问 控制 的 功能 。 


5431 算法 框架 


当 组 播 组 用 户 发 生变 化 以 后 , 密 钥 将 会 被 更 新 ,然后 由 GC 分 发 给 各 合法 用 户 ,分 发 的 
过 程 包含 了 密 钥 能 人 。 图 5. 4. 1 描述 了 用 户 动态 加 入 或 者 离开 过 程 中 不 同 的 时 间 段 所 完成 
的 操作 。 

首先 , 欲 加 入 或 退出 的 用 户 在 :一 2 时 间 段 内 联系 GC, 进 行 登录 或 注销 的 操作 。 然 后 ， 
GC 给 出 更 新 后 的 密 钥 ,在 :一 1 时 间 段 里 将 其 分 发 给 各 合法 用 户 ( 不 包括 退出 后 的 用 户 ) 。 
到 时 间 上 开始 的 时 刻 , 新 密 钥 生效 , 密 钥 更 新 完成 。 随 着 用 户 不 断 发 生变 化 ,该 过 程 也 反复 
进行 。 本 节 中 ,我 们 主要 研究 密 钥 分 发 过 程 中 的 嵌入 算法 ,在 后 续 的 工作 中 将 会 和 密 钥 


时 间 
x- * - _ 
| | | 
Fog» 5 t=] 1 
用 户 连 接 密 钥 更 新 新 密 钥 生 效 
图 5.4.1 密 钥 更 新 过 程 的 3 个 时 间 段 


分 发 管理 结合 起 来 。 图 5. 4. 2 给 出 了 该 算法 的 框架 (虚线 框 住 部 分 ), 即 密 钥 嵌入 及 检测 
的 过 程 。 


| n 回放 视频 | 
| | 
| | 
i | HRA 密 钥 检测 和 解码 | 
| | 
中 | 
| 不 完全 解码 密 钥 消息 K, 
|| awa je 差错 控制 密 钥 检测 | 
川 重新 编码 解 码 密 钥 序列 | 
| so | Lid 
加 密 解密 |e | | | | P 
| f K Ky Ka 
| 
网 络 | 


图 5.4.2 密 钥 嵌入 和 检测 过 程 


整个 处 理 过 程 分 为 两 个 部 分 : 密 钥 能 入 部 分 与 解码 及 检测 部 分 。 实 际 应 用 中 ,媒体 服 
务 器 不 可 能 存放 原始 视频 信息 (如 YUV 数据 等 ) ,那样 将 造成 巨大 的 磁盘 空间 浪费 ,因此 ， 
存放 的 往往 都 是 编码 后 的 视频 数据 。 所 以 针对 这 个 特点 , 密 钥 嵌入 部 分 的 输入 为 编码 后 的 
视频 流 。 密 钥 嵌 入 只 在 视频 序列 的 关键 帧 ( 即 工 帆 ) 内 进行 ,之 所 以 选择 工 帧 ,是 因为 预测 帧 
(PP 帧 .B 帧 ) 容 易 被 转 码 器 等 QoS 机 制 中 的 跳 帧 算法 所 跳 过 ,如 果 伦 入 则 很 容易 造成 密 钥 信 
息 的 丢失 。 对 于 输入 的 工 帧 ,首先 经 过 不 完全 解码 , 即 变 长 解码 (variable length decoding, 
VLD) filli it (E Cinverse quantization, IQ) ,从 而 得 到 DCT 系数 。 算 法 通过 修改 每 个 8X8 
DCT 系数 块 的 直流 分 量 从 而 达到 密 钥 嵌 入 的 目的 。 因 为 直流 分 量 与 该 8X8 像素 块 的 平均 
亮度 直接 相关 ,对 其 进行 修改 就 能 达到 调制 像素 块 平均 亮度 的 目的 ,而 不 必 通 过 IDCT 变换 
得 到 原始 数据 。 另 外 ,嵌入 的 密 钥 信 息 采 用 了 Reed-Solomon 纠 错 码 , 以 提供 差错 恢复 的 能 
力 。 然 后 ,将 修改 后 的 DCT 系数 通过 量化 、 变 长 编码 (variable length encoding,VLE) 后 得 
到 视频 流 ,完成 整个 嵌入 工作 。 当 视频 流 在 有 差错 的 网 络 中 进行 传输 时 ,往往 会 有 丢 包 的 情 
MRE ,因此 该 算法 采用 了 信息 完 余 的 方法 , 即 对 每 一 个 嵌入 了 密 钥 的 图 像 序列 组 (group 
of pictures,GOP ,包含 1 个 I 帧 和 多 个 也 帧 .P 帧 ) , 接 下 来 的 1 个 或 者 多 个 GOP PIA 
了 相同 的 密 钥 信息 ,一 旦 前 面 GOP 中 的 密 钥 信息 丢失 ,可 以 通过 后 续 的 GOP 来 恢复 ,这 样 
增加 了 密 钥 的 可 靠 性 。 图 5. 4. 3 给 出 了 一 个 例子 ,利用 4 个 GOP 来 携带 新 密 钥 。 

视频 流 经 过 加 密 后 才能 进行 传输 ,加 密 采 用 的 密 钥 为 旧 的 会 话 密 钥 ,以 达到 访问 控制 的 
目的 。 解 码 和 检测 通常 在 接收 端 进行 ,接收 端 首先 通过 旧 密 钥 对 视频 流 进 行 解密 ,然后 对 其 
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密 钥 更 新 后 使 用 新 密 
钥 解密 GOP 


使 用 旧 密 钥 解密 GOP, 
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图 5.4.3 密 钥 分 发 过 程 中 的 密 钥 宛 余 


解码 并 回放 。 同 时 检测 是 否 有 密 钥 更 新 的 信息 ,如 果 有 , 则 获取 该 更 新 后 的 密 钥 。 待 密 钥 分 
发 过 程 完成 ,发 送 端 和 接收 端 同时 启用 新 的 密 钥 ,完成 密 钥 更 新 。 


5432 算法 原理 


1. DCT 系数 与 图 像 亮 度 的 关系 

在 MPEG/JPEG 图 像 压 缩 标准 中 ,图 像 各 点 亮度 值 被 划分 为 若干 8X8 的 块 ,对 每 个 块 
进行 二 维 DCT 变换 得 到 对 应 的 8X8 DCT 系数 块 。 该 系数 块 坐标 最 低 的 位 置 , 即 (0,0) 位 
置 存放 的 是 直流 分 量 , 向 横 纵 坐标 方向 移动 ,存放 的 是 高 频 分 量 。 由 DCT 变换 的 公式 ，: 


N-1 N-1 


L2. . : (2x + Dux Qy+ Dyx = 
F(u.v) Ne Deo 27 23 fey cos| 2N III 2N ] (5.4.1) 
对 DCT 系数 块 直流 分 量 有 
7 7 
s SD fey) 
' Er 
F(,0 = x2, 2] f(x) = N AN (5.4.2) 
7 7 
MfG.» 
取 N=8, 可 得 : F(0,0)=8 = 


故 由 式 (5.4.2) 可 知 ,DCT 系数 块 直流 分 量 大 小 为 该 8X8 亮度 块 平均 亮度 值 的 8 倍 。 
如 果 该 块 内 所 有 像素 点 的 亮度 值 都 增加 (或 减少 )A, 则 其 对 应 的 DCT 系数 块 的 直流 分 量 增 
加 (或 减少 )8A。 另 外 ,如 果 保 持 交流 分 量 不 变 ,直流 分 量 增加 (或 减少 )A, 则 所 有 点 的 亮度 
值 增加 (或 者 减少 )A/8。 根 据 这 个 关系 ,我 们 可 以 直接 通过 修改 DCT 系数 块 直流 分 量 的 值 
来 修改 对 应 区 域 的 平均 亮度 值 ,从 而 节省 了 计算 量 。 

2. 亮度 调制 

我 们 利用 图 像 的 亮度 统计 特性 ,对 一 个 像素 区 域 的 平均 亮度 值 C(average luminance 


value,ALV) 进 行 调制 ,以 嵌入 密 钥 信息 。 一 个 区 域 由 若干 个 8X8 的 像素 块 组 成 ,每 个 区 域 
嵌入 1 个 bit 的 信息 。 图 5. 4. 4 为 调制 后 的 亮度 分 布 。 
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图 5.4.4 调制 后 的 亮度 分 布 


如 图 5.4.4 所 示 , 横 坐标 为 图 像 区域 的 平均 亮度 值 ,其 中 Y 为 [0,255] 范 围 内 的 一 个 固 
定 值 ,由 发 送 端 和 接收 端 共 享 ,用 于 防止 亮度 值 超出 [0,255] 的 范围 。C 为 空域 中 亮度 值 的 
调制 周期 ,实验 中 其 取 值 范围 为 2 一 16, 对 应 DCT 域 中 的 调制 范围 为 16 一 128。 图 中 一 系列 
值 为 Y 十 nC(n 为 非 负 整数 ) 的 参考 点 代表 了 嵌入 的 1 个 bit BR. 4 n 为 偶数 时 ,表示 艇 入 
的 bit Jy 0524 n 为 奇数 时 ,表示 嵌入 的 bit 为 1。 调制 的 过 程 是 根据 要 骨 入 的 bit, 将 原始 的 
平均 亮度 值 调整 至 最 近 的 Y 十 nC 上 。 例 如 ,图 中 所 示 某 个 区 域 的 平均 亮度 值 为 X, 拟 在 该 
区 域 租 入 1, 则 需要 将 其 移动 至 Y 十 C 处 。 移 动 时 ,首先 计算 移动 的 距离 , 即 Y 十 C 与 X 的 差 
值 , 然 后 将 该 区 域内 每 个 8X8 块 的 平均 亮度 值 都 加 上 这 个 差 值 ,从 而 完成 移动 。 

检测 时 根据 平均 亮度 值 所 在 的 区 间 来 确定 嵌入 的 bit 是 0 或 者 是 1, 如 果 该 值 在 某 个 
Y+nC 的 [一 C/2,CV2] 的 范围 内 , 则 按照 这 个 z 的 奇偶 性 来 确定 嵌入 的 值 。 例 如 ,图 中 平均 
亮度 值 X ,其 所 在 区 间 为 [了 十 2C 一 C/2,Y 十 2C 十 C/2], 故 可 知府 入 的 bit 为 0。 前面 提 到 ， 
艇 入 过 程 将 会 把 图 像 区 域 的 平均 亮度 值 移 至 一 系列 的 Y 十 zC 上 ,但 是 传输 过 程 中 受 转 码 器 
等 的 影响 ,会 产生 一 定 程度 的 偏差 。 因 此 ,通过 判断 平均 亮度 值 所 在 区 间 来 确定 嵌入 的 数 
据 , 能 够 极 大 地 减 小 这 种 偏差 对 检测 带 来 的 影响 。 可 见 ,调制 周期 C 的 选择 决定 了 检测 区 
间 的 大 小 ,C 越 大 , 则 区 间 越 大 ,检测 正确 性 越 高 ,然而 因为 C 也 是 亮度 调制 的 最 大 距离 ,所 
以 对 图 像 质量 的 影响 会 越 严 重 。C 的 选择 需要 考虑 转 码 器 造成 的 误差 ,下 面 将 对 此 进行 详 
细 的 阐述 。 


3. 视频 转 码 器 的 影响 

视频 流 常常 需要 在 异 构 网 络 和 计算 能 力 不 同 的 设备 之 间 进 行 传输 ,不 同 的 带宽 和 图 像 
处 理 能 力 决定 了 各 接收 端 对 视频 质量 的 需求 。 例 如 ,宽带 用 户 能 够 接受 到 高 码 率 、 高 质量 的 
视频 ,而 PDA 由 于 是 无 线 传输 加 之 本 身 处 理 能 力 较 弱 , 所 以 需要 接收 低 码 率 、 低 分 辩 率 的 
图 像 。 为 了 满足 各 种 用 户 的 需求 ,如 果 单 纯 在 服务 器 端 存放 同一 视频 片段 的 各 种 质量 的 版 
本 ,那么 必 将 会 造成 存储 空间 爆炸 。 因 此 ,需要 在 各 接 入 端 对 视频 进行 转 码 ,使 之 变 为 满足 
该 网 络 或 者 用 户 的 需求 ,这 种 机 制 被 称 为 视频 转 码 器 。 转 码 器 可 以 实现 视频 流 码 率 整形 、 视 
频 流 格式 转换 .空间 分 辨 率 调整 等 功能 。 
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当 视 频 流 进入 到 密 钥 谤 入 模块 时 ,首先 会 进行 变 长 解码 (VLD) 、 北 量化 (IQ) ,从 而 得 到 
若干 DCT 系数 块 。 对 图 像 区 域 的 平均 亮度 的 调制 ,实际 上 就 是 对 各 DCT 系数 块 的 直流 分 
量 进行 修改 ,从 而 使 得 其 平均 值 改变 为 某 一 指定 值 (对 应 于 空域 亮度 值 Y 十 zC)。 然 后 重新 
进行 量化 和 变 长 编码 ,以 得 到 嵌入 密 钥 后 的 视频 流 。 图 5. 4. 5 给 出 了 该 密 钥 嵌入 过 程 , 其 中 
Co 为 原始 的 DCT 系数 的 直流 分 量 ,CY 为 调制 以 后 的 直流 分 量 。 


视频 流 一 | VLD ~| IQ 


Co 


BAEAN vrc Q 


视频 流 Ci 


图 5.4.5 密 钥 嵌入 过 程 中 的 亮度 调制 


假设 某 个 区 域 由 NN 个 8X8 块 组 成 ,各 块 平均 亮度 值 为 ALV; ,该 区 域 的 平均 亮度 值 为 


N 
D ALV; 


ALV == 


N 


(5.4. 3) 


如 果 为 了 嵌入 某 个 数据 需要 使 ALV 增加 Ad Al SO) ,理论 上 可 以 通过 将 每 个 ALV; 


都 增加 A 来 实现 , 即 : 


N 
D ALV: +4) 


LA iz 
ALV +4 N 


但 是 ,由 于 量化 的 关系 ,使 得 每 个 块 增加 的 值 实际 
上 并 不 等 于 A, 导致 ALV 无 法 增加 A。 为 了 使 ALV HE 
确 地 移动 至 指定 值 ,我们 提出 了 一 种 亮度 调制 算法 , 通 
过 将 前 次 亮度 修改 中 的 理论 增加 值 与 实际 增加 值 的 差 
值 累 计 起 来 ,到 下 一 次 修改 时 一 起 增加 。 算 法 流程 如 
图 5.4.6 所 示 。 

图 5.4.6 rp. S 为 累加 器 ,负责 累计 对 每 个 块 计算 
后 产生 的 误差 。 例 如 在 DCT 域 中 , 某 个 块 的 直流 分 量 
值 Cb 二 20, 量 化 器 大 小 为 Q 二 10, 需 要 增加 的 A 二 4。 由 
式 (5.4.3)、 式 (5.4.4) 计 算 可 知 ,就 算 Co 被 修改 为 24， 
经 过 重新 量化 后 ,Co 仍然 等 于 20。 此 时 ,产生 误差 值 
为 4。 下 一 个 块 的 C5 王 10, 需 要 增加 两 个 量 : A 一 4 和 
前 次 误差 4, 即 为 18。 经 量化 后 实际 变 成 Co 一 20, 又 产 
生 误 差 值 为 一 2 ,累计 到 下 一 次 的 计算 中 ,直到 该 区 域内 
最 后 一 个 块 。 求 其 平均 值 , 则 该 区 域 亮度 变化 误差 绝对 
值 不 大 于 Q。 换 句 话 说 ,嵌入 过 程 调制 得 到 的 平均 亮度 


(5. 4. 4) 


初始 化 , S=0 


读 入 一 个 新 块 S=S+A4 


处 理 下 一 个 区 域 


图 5.4.6 亮度 调制 算法 流程 图 
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值 与 其 期 望 值 ( 某 个 十 nC) 之 差 |Agmoea | <Q. N 足够 大 时 ,该 误差 为 0。 此 时 ,检测 过 程 
的 准确 性 将 只 受 转 码 器 的 影响 。 
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前 面 提 到 ,每 一 个 图 像 区 域 存放 1 个 bit 的 信息 。 图 像 区 域 的 划分 ,需要 兼顾 戏 入 信 
息 量 和 可 靠 性 的 要 求 。 对 于 前 者 ,考虑 到 常见 密 钥 长 度 为 128 位 ,加 上 一 些 标志 位 和 校 
验 位 一 共 200 位 , 故 将 图 像 划 分 成 200 个 区 域 。 若 区 域 太 多 ,会 使 得 每 个 区 域内 的 块 数 
过 少 ,对 抗 转 码 器 等 QoS 机 制 的 能 力 减 弱 。 从 实验 结果 可 以 看 出 ,分 为 200 个 区 域 是 不 
错 的 选择 。 

考虑 到 嵌入 密 钥 的 可 靠 性 ,尤其 是 经 过 下 采样 后 块 数 减少 ,如 果 组 成 区 域 的 8X8 块 
过 于 分 散 , 店 入 其 中 的 密 钥 信息 将 会 因为 所 在 块 被 丢弃 或 者 与 相 邻 块 作 平均 而 被 丢失 或 
破坏 。 对 于 前 面 提 到 的 常见 的 空域 下 采样 方法 , 即 通 过 取 平 均值 的 办 法 将 图 像 长 宽 各 减 
少 一 半 , 原 图 像 中 的 每 个 宏 块 (16 X16) 变 为 1 个 8X8 的 像素 块 ,二 者 的 平均 亮度 值 相 
同 。 基 于 这 些 考 虑 ,图 像 区 域 的 划分 应 尽量 以 宏 块 为 基本 单位 ,并 使 得 各 宏 块 之 间 聚 集 
在 一 起 ,这 样 能 够 保证 下 采样 使 得 分 辩 率 下 降 以 后 ,新 的 8X8 块 能 与 原 区 域 对 应 ,以 保 
证 密 钥 的 可 靠 性 。 

图 5. 4.7 所 示 是 对 大 小 为 640X480 的 图 像 的 一 种 最 简单 的 划分 方法 。 该 方法 是 对 图 
像 按 比例 进行 分 区 ,接收 端 也 只 需 按 相同 比例 在 变 小 后 的 图 像 寻 找 相应 的 区 域 。 其 优点 是 
实现 简单 , 且 对 多 种 比例 的 图 像 分 辩 率 变化 都 比较 可 靠 。 但 是 由 于 区 域 中 的 块 都 集中 在 一 
起 ,各 块 的 亮度 性 质 较 为 相似 ,如 果 转 码 过 程 中 产生 误差 ,各 块 也 很 相似 ,这 样 不 利于 减 小 误 
差 。 另 外 ,嵌入 密 钥 后 可 能 会 使 图 像 出 现 比 较 明 显 的 一 些 亮 块 ,对 图 像 质量 有 一 定 的 影响 。 
改进 的 办 法 是 可 以 将 区 域 中 的 块 4 个 一 组 分 散 到 图 像 中 ,但 是 这 样 划分 的 方法 比较 复杂 ,而 
且 可 靠 性 不 如 前 者 强 。 因 此 ,这 里 采用 图 5.4. 7 所 示 的 分 区 方法 。 


480 


[| H | 


- 一 | 


640 


图 5.4.7 640X480 图 像 的 一 种 区 域 划分 的 方法 
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1. Reed-Solomon 编码 
Reed-Solomon(RS) 码 61 是 一 种 性 能 优良 的 分 组 线性 码 , 在 同样 编码 元 余 度 下 RS 码 具 
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有 很 强 的 前 向 纠 错 (forward error correction,FEC) 能 力 。 同 时 ,由 于 近年 来 超大 规模 集成 
电路 (VLSI) 技 术 的 发 展 ,使 原来 非常 复杂 、 难 以 实现 的 译 码 电路 集成 化 ,目前 功能 很 强 的 、 
长 RS 码 的 编译 码 器 芯片 也 商业 化 了 ,因此 RS 码 已 广泛 应 用 于 通信 和 领域 。 

RS 码 是 一 类 非 二 进 制 BCH 码 , 在 (x,k)RS 码 中 ,输入 信号 分 成 hin 比特 一 组 ,每 组 包 
括 & 个 符号 BEES Hm 比特 组 成 ,而 不 是 BCH 码 中 的 一 个 比特 。 一 个 纠 1 个 符号 错误 
的 RS 码 有 如 下 参数 : 

BK: n=2—1 个 符号 ， 或 者 m(2" 一 1) 比 特 

信息 段 : & 个 符号 ， 或 者 km 比特 

KEB: n—k=2t 个 符号 ， 或 者 m(n 一 k) 比 特 

最 小 码 距 : d= 二 2 十 1 个 符号 ， 或 者 m(2t 十 1) 比 特 

具有 21 个 符号 的 监督 段 的 RS 码 , 能 够 纠正 i 个 错误 的 符号 。 它 至 少 能 够 纠正 1 个 比 
特 的 分 散在 各 符号 上 面 的 错误 ,至 多 纠正 i 个 完全 错误 的 符号 , 即 im 个 比特 的 连续 错误 。 
所 以 ,RS 码 特别 适合 于 纠正 突 发 错误 。 

为 了 提高 嵌入 密 钥 的 可 靠 性 ,增强 其 对 转 码 器 的 抵抗 能 力 和 对 较 低 丢 包 率 情况 下 的 错误 
恢复 能 力 ,我 们 采用 了 RS 码 对 可 能 出 现 的 少量 错误 进行 纠正 考虑 到 艇 和 的 信息 为 200 
位 ,其 中 128 位 为 密 钥 信 息 , 剩 余 72 位 中 取 64 位 用 


8 位 标识 
作 RS 码 的 码 字 ,8 位 用 于 存放 一 些 属 性 。 所 以 采用 
(25,17) RS 码 ,8 个 字 节 的 监督 段 ,可 以 纠正 4 个 字 128 位 密 钥 信 息 
节 上 的 错误 ,至 少 4 位 至 多 32 位 。 图 5. 4. 8 所 示 是 
这 200 位 信息 的 组 成 。 EUNTEM 
2. 信息 宛 余 图 5.4.8 AHY 200 位 信息 的 组 成 


利用 RS 码 可 以 极 大 地 减少 因为 计算 误差 和 转 码 器 共同 引起 的 检测 错误 。 但 是 ,视频 
流 在 进行 网 络 传输 的 过 程 中 ,会 受到 网 络 环境 的 影响 。 网 络 突 发 的 拥塞 会 导致 大 量 分 组 的 
丢失 ,而 通常 一 个 关键 帧 的 比特 流 会 被 分 成 十 多 个 包 ( 如 UDP, RTP 等 ) 进 行 传输 , 遇 到 突 
发 的 丢 包 情况 就 会 造成 嵌入 信息 的 大 量 错误 .使 得 RS 码 无 法 对 其 进行 纠 错 。 此 时 ,该 受 损 
的 密 钥 信息 便 无 法 使 用 ,而 将 被 丢弃 。 考 虑 到 视频 对 延 时 的 敏感 性 和 视频 组 播 的 特点 ,不 可 
能 采用 传统 的 重 传 机 制 , 所 以 可 以 考虑 采用 信息 元 余 的 方法 来 对 其 进行 恢复 。 假 设 第 i 个 
关键 帧 第 一 次 携带 了 新 的 密 钥 信 息 ,将 其 后 若干 个 关键 帧 (i 十 1,i 二 2,… ,i 十 k) 均 嵌入 相同 
的 密 钥 信 息 , 这 些 元 余 帧 的 个 数 由 服务 器 端 通过 一 定 的 策略 来 决定 。 当 第 i 帧 丢失 或 者 受 
到 严重 损坏 时 ,可 以 通过 i 十 1,i 十 2,… i-o E 帧 中 正确 接收 的 一 帧 来 对 密 钥 信息 进行 恢复 。 
一 旦 接收 到 了 正确 的 密 钥 , 便 忽略 后 来 的 关键 帧 所 带 的 元 余 信息 。 

因此 ,关键 帧 被 分 成 了 3 种 类 型 : 更 新 帧 .元 余 帧 和 普通 帧 。 前 两 者 是 携带 了 更 新 后 的 
密 钥 信息 的 关键 帧 ,而 普通 帧 则 不 带 密 钥 信 息 。 为 了 避免 普通 帧 中 含有 某 些 相同 的 信息 而 
被 误 认 为 是 更 新 帧 ,所 以 也 要 对 其 进行 “ 密 钥 " 柑 入 ,以 表明 其 类 型 。 所 有 这 些 可 以 通过 在 赔 
入 密 钥 信息 的 8 位 标志 位 中 加 以 标注 。 图 5. 4. 9 给 出 了 这 8 位 标志 位 的 取 值 和 含义 。 

通常 情况 下 ,每 两 个 关键 帧 之 间 平 均 间隔 约 0. 5 秒 , 所 以 一 般 来 说 64 个 关键 帧 对 于 一 
次 密 钥 更 新 来 说 完全 足够 了 。 如 图 5. 4. 9 所 示 ,最 高 两 位 为 帧 类 型 标志 ,00 为 普通 帧 .01 为 
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7 6 5 4 3 2 1 0 
位 数值 AX 
00 普通 帧 
7-6 01 更 新 帧 
10 TRW 
5-0 63-0 剩余 的 宛 余 帧 数量 


图 5.4.9 标志 位 的 取 值 和 含义 


更 新 帧 .10 为 宛 余 帧 。 低 6 位 为 此 元 余 帧 后 面 的 元 余 帧 的 数量 , 当 该 值 为 0 时 ,从 下 一 个 关 
键 帧 开始 用 新 的 密 钥 进行 解密 。 

采用 宛 余 帧 相当 于 为 内 入 的 密 钥 加 上 了 双 保 险 ,能够 非常 有 效 地 解决 密 钥 能 入 的 差错 
恢复 的 问题 。 这 两 种 方法 ,实际 上 是 通过 修改 嵌入 信息 来 实现 的 ,或 者 说 是 在 密 钥 工人 算法 
的 上 一 层 进行 的 操作 。 因 而 具有 很 好 的 独立 性 ,可 以 对 这 些 方法 分 别 进行 研究 ,以 提供 更 强 
的 差错 恢复 功能 和 对 特殊 情况 的 适应 性 。 
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模拟 实验 的 环境 如 图 5. 4. 10 所 示 。 对 于 原始 信号 ,我 们 采用 了 两 段 MPEG-2 测试 序 
列 ,一 段 来 自 于 电影 ( 侏 罗 纪 公园 》, 另 一 段 是 现场 抓 取 的 视频 ,大 小 均 为 640 X480, 速 率 为 
20 fps, 都 是 500 帧 。 选 择 这 两 个 序列 是 根据 它们 不 同 的 运动 和 场景 特征 ,前 者 含有 快速 的 
动作 和 场景 切换 ,而 后 者 运动 相对 较 小 ,而 且 场 景 基 本 不 换 , 这 样 便于 对 密 钥 嵌入 算法 进行 


较 全 面 的 测试 。 
MPEG -4 编码 的 __| sus 转 码 器 
640X480 序列 “| 9A. (模拟 ) 
丢 帧 环境 


SIF320X240 
MPEG -4 视频 流 


密 钥 检测 


图 5.4.10 实验 框架 


为 了 测试 方便 ,并 没有 采用 实际 使 用 的 转 码 器 ,而 主要 模拟 了 转 码 器 中 空域 下 采样 和 重 
新 量化 这 两 个 重要 的 操作 。 另 外 ,还 加 入 了 丢 帧 的 模块 ,以 模拟 在 网 络 传输 过 程 中 突 发 的 丢 
帧 情况 。 

图 5. 4. 11 所 示 是 各 种 取 C 值 情况 下 ,对 图 像 质量 的 影响 。 除 了 第 1 张 图 片 外 , 剩 下 的 
3 张 图 分 别 用 不 同 的 调制 周期 进行 密 钥 嵌入 。 从 中 可 以 看 出 , 当 C 的 取 值 小 于 4 时 , 密 钥 嵌 
入 所 造成 的 影响 可 以 忽略 不 计 。 而 当 C 大 到 一 定 程度 时 (如 图 5. 4. 11(d) 所 示 ), 图 像 中 出 
现 了 很 多 或 亮 或 暗 的 块 ,图 像 质量 下 降 得 很 严重 。 

从 图 5. 4. 12 中 可 以 看 出 , 当 调制 周期 C. 取 值 不 超过 4 时 ,PSNR 的 下 降 基 本 没有 超过 
0. 5 dB, 这 对 于 视频 质量 来 说 是 很 理想 的 。 而 当 C 取 到 16 时 ,很 明显 地 ,PSNR 下 降 超 过 了 
3 dB, 而 且 其 PSNR 波动 得 非常 剧烈 ,此 时 图 像 质 量 下 降 很 多 ,无 法 令 用 户 接受 。 


(a) 未 嵌入 (b) 调制 周期 为 2 


(c) 调制 周期 为 4 (d) 调制 周期 为 16 
图 5.4.11 嵌入 密 钥 后 的 片段 在 不 同调 制 周期 下 的 效果 
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图 5.4.12 图 像 峰值 信 品 比 (PSNR) 与 调制 周期 的 关系 


图 5. 4. 13 所 示 , 是 通过 转 码 器 后 检测 出 的 平均 误 码 位 数 与 调制 周期 的 关系 。 用 不 同 大 
小 的 原 量 化 器 量化 得 出 的 亮度 值 ,经 过 转 码 器 中 新 量化 器 以 后 ,产生 的 误差 各 不 相同 ,图 中 
的 3 条 线 分 别 代 表 3 种 原 量 化 器 和 新 量化 器 相配 合 时 产生 的 平均 误差 位 数 ( 总 数 为 
200 位 )。 可 以 看 出 , 当 调制 周期 小 于 3.5 时 , 即 对 应 于 DCT 域 的 调制 范围 28, 检 测 出 错 的 概 
率 很 高 ,如 图 中 所 示 最 高 约 为 15/200X100% 二 7.5% 的 出 错 率 。 而 当 调 制 周期 快 到 4 的 时 
候 , 错 误 率 已 经 趋 近 于 0. 


一 原 量 化 器 15, 新 量化 器 30 
一 原 量化 器 16, 新 量化 器 31 
-e- 原 量化 器 10, 新 量化 器 24 


在 200 bits 里 的 平均 
误 码 位 数 


3.5 4.0 


3.0 
调制 周期 
图 5.4.13 通过 转 码 器 后 检测 出 的 平均 误 码 位 数 与 调制 周期 的 关系 


因此 ,采用 通常 情况 下 的 量化 器 进行 重新 量化 ,调制 周期 取 到 4, 已 经 足够 使 得 检测 错 
误 概率 大 为 降低 ,并 趋 于 0。 由 于 忽略 了 下 采样 过 程 中 的 计算 误差 ,在 一 些 极端 的 情况 下 
(如 下 采样 .重新 量化 都 造成 了 最 大 的 误差 , 且 符号 相同 ), 仍 会 出 现 一 些 错误 。 但 是 ,这 样 出 
错 的 概率 非常 低 ,可 以 通过 RS 码 对 其 进行 纠正 。 

图 5.4.14 给 出 了 丢 包 率 与 检测 出 错 概率 的 关系 ,并 将 同样 大 小 的 关键 帧 分 别 打 成 不 同 
数量 的 包 来 进行 发 送 。 从 图 中 可 以 看 出 .出错 率 随 着 丢 包 率 的 增加 旦 阶梯 性 的 递增 ,这 是 因 
为 密 钥 信息 的 检测 是 对 整个 区 域 进 行 的 ,即使 部 分 块 受 到 损坏 ,其 余 占 多 数 的 正确 块 也 能 保 
证 该 区 域 的 正确 性 。 另 外 ,同样 大 小 的 关键 帧 如 果 采 用 过 多 的 包 来 传输 ,虽然 每 个 包 携带 密 
钥 信息 的 数量 减少 了 ,但 在 相同 的 丢 包 率 下 ,丢失 的 包 变 得 更 为 分 散 ,影响 到 的 图 像 区 域 也 
更 多 ,因此 最 后 的 差错 率 会 比 一 般 情 况 高 得 多 。 如 果 采 用 了 RS 码 , 检 测 出 错 的 概率 发 生 了 
很 明显 的 下 降 。 比 较 图 5. 4. 14(a) 和 (b) 可 以 看 出 ,在 使 用 了 (25,17)RS 码 的 情况 下 , 丢 包 
率 小 于 10% 时 ,出 错 率 已 经 降 至 0 附近 。 而 对 于 丢 包 率 较 高 的 情况 ,出 错 率 下 降 了 一 半 以 
上 。 可 见 ,RS 码 能 够 对 嵌入 密 钥 的 可 靠 性 起 到 很 大 的 作用 。 
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(a) 未 采用 RS 码 (b) 采用 (25.17) RS 码 
图 5.4.14 丢 包 率 与 检测 出 错 概率 的 关系 
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在 更 高 丢失 率 的 情况 下 ,即便 采用 RS 码 也 无 法 避免 错误 的 发 生 。 此 时 ,我 们 采用 元 余 
帧 来 进行 差错 恢复 。 考 虑 到 网 络 中 的 丢 包 情况 常常 是 突 发 的 , 即 一 段 时 间 内 有 严重 的 丢 包 ， 
之 后 又 恢复 良好 的 网 络 状 况 。 故 只 要 更 新 时 间 人 允许 ,可 以 使 用 较 多 的 宛 余 帧 ,使 得 接收 端 总 
可 以 获得 正确 的 密 钥 信息 ,从 而 正确 地 完成 密 钥 的 更 新 过 程 。 通 常情 况 下 ,一 个 由 15 帧 图 
像 组 成 的 GOP 持续 时 间 大 概 在 0.5 s。 由 于 密 钥 更 新 过 程 不 会 频繁 地 发 生 , 接 下 来 的 很 多 
GOP 就 可 以 用 作 前 面 GOP 中 由 入 的 信息 的 元 余 备份 ,因而 密 钥 分 发 的 时 间 也 就 延长 到 了 
0.5(n 十 1)s(n 为 元 余 GOP 的 个 数 )。 在 这 段 时 间 内 ,解码 端 能 够 检测 到 若干 份 的 密 钥 信息 
的 复制 ,然后 选择 其 中 正确 的 来 更 新 它 自己 的 密 钥 。 

考虑 到 视频 的 实时 性 , 密 钥 说 入 操作 不 应 占用 过 多 的 时 间 。 因 此 ,我 们 通过 将 这 两 个 片 
段 进行 重新 编码 ,并 且 对 比 正常 的 编码 时 间 和 编码 后 再 进行 密 钥 戏 入 所 需 全 部 时 间 ,来 对 算 
法 效率 进行 说 明 。 通 过 设 定编 码 器 ,使 得 连续 两 个 关键 帧 之 间 不 会 超过 10 个 预测 帧 。 测 试 
平台 CPU Jy AMD Athlon 1 G ,内存 256 MB。 结 果 见 表 5. 4. 2。 


表 5.4.2 密 钥 嵌入 算法 带 来 的 对 处 理 时 间 的 影响 


序列 名 称 《 侏 罗 纪 公园 ) 片 段 现场 录像 
正常 编码 速度 /(f/s) 52. 20 53. 41 
含有 密 钥 嵌入 的 编码 速度 /CI/s) 47. 07 49.17 
增加 的 处 理 时 间 的 百分比 /% 11.4 9.28 


从 表 中 可 以 看 出 , 密 钥 嵌入 仅 增 加 了 10% 左 右 的 计算 时 间 , 可 见 不 会 对 视频 传输 带 来 
太 多 额外 负担 。 通 常 间隔 若干 帧 才 会 出 现 一 个 关键 帧 ,因此 对 这 一 帧 进行 处 理 所 增 加 的 时 
间 是 微不足道 的 。 


5.4.4 ”基于 视频 的 选择 性 加 密 算法 


本 节 提 出 了 一 种 高 效 的 视频 选择 性 加 密 算法 ,该 算法 采用 伪 随 机 函数 来 生成 加 密 序列 ， 
并 且 采 用 两 层 加 密 的 方法 ,分 别 对 I 帧 DCT 系数 块 的 DC 分 量 的 符号 位 和 其 余 帧 的 运动 向 
量 进 行 修改 以 实现 加 密 的 功能 ,因此 具有 很 高 的 安全 性 。 另 外 ,由 于 该 算法 只 对 视频 内 容 在 
DCT 域 中 的 数据 进行 加 密 , 因 此 对 服务 质量 控制 机 制 具有 很 好 的 透明 性 ,并 且 具 有 实时 处 
理 的 能 力 ,另外 不 会 增加 视频 码 流 的 大 小 。 
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这 里 提出 的 视频 选择 性 加 密 算法 采用 了 两 层 的 方法 ,分 别 对 I 帧 DCT 系数 块 的 DC 分 
量 的 符号 位 和 其 余 帧 的 运动 向 量 进行 修改 以 实现 加 密 的 功能 。 修 改过 程 是 将 它们 与 一 个 伪 
随机 序列 按 位 做 异 或 运算 ,该 序列 称 为 加 密 序列 (encryption sequence. ES) ,能 够 由 会 话 密 
$H Ks 和 帧 的 编号 通过 PRE 函数 的 运算 而 得 到 : 
ES = PREE” (frame_number) (54.5): 
该 序列 随 着 帧 号 而 发 生变 化 ,这 样 能 够 抵抗 很 多 统计 攻击 。 由 于 用 户 知道 会 话 密 钥 和 
帧 号 ,他 们 能 够 自己 计算 出 加 密 序 列 来 ,从 而 能 够 对 视频 进行 解密 。 
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PRF(pseudo random function) 是 一 种 密 钥 相 关 的 伪 随 机 函数 ,通常 是 一 个 密 钥 相关 的 

喻 希 函 数 ,根据 一 定 的 输入 得 到 确定 的 输出 。PRF 用 来 派生 密 钥 和 认证 处 理 。 在 后 边 的 部 

分 ,我 们 用 到 了 很 多 伪 随 机 函数 ,这 些 函 数 具 有 不 同 的 输入 和 输出 长 度 。 为 了 表述 方便 ,我 们 
定义 了 一 组 PRF, 都 是 将 位 的 输入 M 与 密 钥 K 经 过 计算 得 到 位 的 输出 ,其 定义 如 下 : 

PREY. K X{0;1}" = {0,1}* (5.4.6) 
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对 于 I 帧 ,我 们 选择 了 像素 块 的 亮度 来 作为 加 密 的 对 象 。 根 据 上 文 的 介绍 ,DCT 系数 
块 的 DC 分 量 与 一 个 块 的 平均 亮度 值 直接 相关 。 另 外 ,在 MPEG 视频 压缩 标准 中 ,DC 分 量 
是 按照 预测 的 方式 进行 编码 的 。 改 变 一 个 DC 符号 位 码 字 将 会 对 后 续 块 重建 的 DC 分 量 造 
成 严重 的 影响 。 具 体 的 改变 方法 是 ,将 DC 分 量 的 符号 位 与 加 密 序列 中 对 应 的 位 进行 异 或 
运算 。 图 5. 4. 15 给 出 了 DC 系数 加 密 的 示意 图 。 


DC, DC, DC; DC; 
100 | —50 | 150 -100 
O Doo T 
100 | +50 | 150 -100 

} = = =| 


图 5.4.15 第 一 层 加 密 的 示意 图 


假设 DC; 是 待 传输 的 码 字 ,DC; 是 对 应 的 真正 的 DC 分 量 。 我 们 有 ， 


DC, = 100， DC, = DCG; +L (5.4. 7) 
it K; 是 ES 的 第 i 位 。 我 们 可 以 通过 下 面 的 计算 来 进行 加 密 : 
Enc(DC,) = (2 X (sign(DC,) ® K;) — D +| DC, | (5. 4. 8) 


— (0, 车 DC;<0， 
其 中 ,@@ 表 示 异 或 操作 。 sen B= | BD 
1, 若 DC; 之 0。 


举例 来 说 ,如 果 DC;>0 B. K;—1 ,那么 加 密 后 的 码 字 为 一 DC;。 如 图 5. 4. 15 所 示 ,改变 
任意 一 个 DCT 系数 块 的 DC 符号 位 ,将 会 造成 后 面 整个 图 像 的 亮度 混乱 。 这 将 极 大 地 降低 
图 像 的 可 辨识 性 ,从 而 对 I 帧 图 像 达 到 很 好 的 加 密 效 果 。 
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对 于 帧 间 编 码 的 帧 (如 P 帧 ,B 帧 等 ) 来 说 ,运动 向 量 足 够 用 来 保存 一 些 低 分 辨 率 视频 对 
象 的 信息 ,这样 将 使 得 图 像 中 某 些 对 象 能 够 被 辨识 出 来 。 另 外 ,这 些 帧 具有 对 工 帧 的 修复 功 
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能 ,即使 1 帧 内 容 被 加 密 , 随 着 后 续 P、B 帧 的 解码 ,重建 后 的 图 像 越 来 越 倾向 于 恢复 到 未 加 
密 的 样子 ,这 将 导致 第 一 层 加 密 的 实效 和 视频 信息 的 泄漏 。 考 虑 到 运动 向 量 的 数据 相 比 亮 
度 、 色 度 信息 来 说 具有 更 高 的 压缩 比 和 更 少 的 数据 量 ,因此 将 其 作为 第 二 层 加 密 的 对 象 是 不 
错 的 选择 。 

假设 当前 宏 块 的 运动 向 量 是 MV ,而 MV1, MV2, MV3 是 相 邻 宏 块 的 运动 向 量 。 我 们 
可 以 得 到 : 


Px = Mid(MV1z, MV2zx, MV3z) 
| (5.4.9) 


Py = Mid(MV1y,MV2y,MV3y) 
其 中 ,Mid() 表 示 取 输入 的 中 间 数 。 例 如 ,我 们 可 以 得 到 : Mid(2,3,5)= 3。 因 此 ,差分 码 字 
MVD 为 
MVDz = MVz — Pr 
tuto = MVy— Py 
it K H ES 的 某 一 部 分 , 故 可 以 通过 下 面 的 计算 来 实现 加 密 : 
Enc(MVD) = MVD@ K (5.4.11) 
与 DC 分 量 的 加 密 方 法 类 似 , 运 动向 量 也 是 经 过 预测 编码 的 。 少 量 的 运动 向 量 的 修改 
将 会 造成 图 像 重建 时 大 量 的 宏 块 位 置 混 乱 。 图 5. 4. 16 给 出 了 采用 第 二 层 加 密 对 图 像 带 来 
的 影响 。 


(5. 4. 10) 


图 5.4.16 第 二 层 加 密 的 示意 图 
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如 图 5.4.17(b) 所 示 , 在 经 过 第 一 层 加 密 的 视频 图 像 中 ,有 很 多 亮度 或 深 或 浅 的 条 纹 ， 
其 图 像 质 量 受 到 了 很 大 影响 ,基本 无 法 辨识 其 中 的 内 容 。 然 后 随 着 后 续 的 P 帧 的 播放 , 右 
边 图 像 中 出 现 了 和 恐龙 的 轮廓 。 如 果 经 过 两 层 加 密 , 情 况 就 不 同 了 。 如 图 5. 4. 17(c) 右 图 所 
示 , 图 像 内 容 已 经 完全 无 法 辨别 出 来 。 在 前 面 的 描述 中 可 以 看 到 ,我 们 的 选择 性 加 密 算法 只 
进行 了 一 些 简单 运算 ,因此 它 具 有 很 低 的 运算 复杂 度 , 表 5.4.3 也 给 出 了 它 在 编码 过 程 中 增 


加 的 处 理 时 间 。 
表 5.4.3 选择 性 加 密 算法 的 处 理 时间 
RNR | 
编码 速度 ,不 采用 加 密 算法 /(f{/s) 49.7 55.6 


编码 速度 ,采用 加 密 算法 /(f/s) 48.4 54.3 
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c) 两 层 加 密 
图 5.4.17 加 密 效 果 ( 左 列 图 像 来 自 于 I 帧 , 右 列 图 像 来 自 其 后 的 P 帧 ) 


增加 的 处 理 时间 /% 2.69 2.39 

另外 ,我 们 还 选取 Foreman 序列 进行 了 加 密 测 试 ,该 序列 为 CIF 图 , 帧 率 为 30 fps, 总 共 
有 300 帧 。 其 加 密 效 果 如 图 5. 4. 18 所 示 。 从 图 中 可 以 看 到 ,画面 中 的 Foreman 已 经 完全 
无 法 分 辨 出 来 。 表 5.4.4 给 出 了 该 序列 进行 选择 性 加 密 所 增加 的 计算 负载 ,从 表 中 可 见 , 选 
择 性 加 密 算 法 仅仅 增加 了 不 到 3% 的 编码 负载 和 不 到 1% 的 解码 负载 。 

表 5.4.4 ”选择 性 加 密 算法 的 计算 复杂 度 

无 加 解密 操作 有 加 解密 操作 
编码 速度 /(f/s) 50.4 49.1 
解码 速度 /(f/s) 112.8 112.2 


图 5.4.18 Foreman 加 密 效 果 


增加 的 负载 /% 2.64 0.54 


55 媒体 相关 的 视频 安全 组 播 协 议 一 一 MSMP 


媒体 相关 的 密 钥 分 发 方式 具有 性 能 和 安全 方面 的 双重 优势 。 上 节 提 出 了 媒体 相关 的 密 
钥 分 发 方案 中 所 需 的 两 种 关键 算法 ,本 节 将 综合 以 上 两 种 算法 ,并 采用 LELK 算法 作为 密 
钥 管 理 与 分 发 算法 ,针对 自 适应 的 应 用 层 视频 组 播 提出 一 种 新 的 媒体 相关 的 安全 组 播 协议 
(media-dependent secure multicast protocol. MSMP) ,该 协议 将 为 处 于 开放 和 不 安全 的 网 
络 环境 中 的 自 适应 视频 应 用 提供 安全 支持 。 该 协议 在 现 有 的 组 播 协议 基础 上 加 入 若干 关键 
部 分 ,包括 可 靠 的 数据 符 入 技术 、 实 时 视频 加 密 算 法 以 及 具有 差错 恢复 和 高 扩展 性 的 密 钥 管 
理 方案 。 

MSMP 综合 了 3 个 主要 的 部 分 : 密 钥 管理 LELK 算法 、 可 靠 的 密 钥 嵌入 算法 以 及 视频 
选择 性 加 密 算法 。MSMP 的 主要 优点 在 于 : 它 对 自 适应 机 制 具有 透明 性 ,即使 下 层 组 播 协 
议 无 法 提供 可 靠 的 传输 服务 , 它 也 具有 很 好 的 鲁 棒 性 ; 它 不 增加 带宽 的 需求 ,也 不 会 造成 存 
储 空间 的 激增 ,即使 是 在 组 播 组 规模 很 大 的 时 候 ; 能 够 提供 实时 处 理 的 能 力 。 实 验 结果 表 
明 ,MSMP 能 够 为 视频 传输 提供 安全 保障 ,以 抵抗 攻击 和 自 适应 机 制 带 来 的 损害 。 


5.5.1 MSMP 框架 


MSMP 方案 具有 以 下 特色 : 中 它 能 够 提供 很 高 的 安全 性 ,从 而 减轻 了 交换 机 和 路 由 器 
上 相关 的 需求 ; @ 构 建 于 现存 的 IP 组 播 基础 上 ,因此 能 够 很 容易 地 进行 部 署 ; QUE BE 
机 制 和 差错 信道 具有 很 好 的 鲁 棒 性 ; 由 具有 很 高 的 扩展 性 ,能 够 很 容易 地 对 大 规模 的 组 播 
组 进行 部 署 。 

MSMP 由 3 部 分 组 成 : 密 钥 管理 、 密 钥 嵌 入 和 视频 安全 传输 ,每 部 分 都 由 单独 的 层次 来 
进行 处 理 , 如 图 5. 5. 1 所 示 ,分 别 是 : 会 话 层 、 密 钥 分 发 展 和 安全 传输 层 。 当 用 户 加 入 或 者 
退出 的 时 候 , 密 钥 必 须 更 新 以 保证 后 向 和 前 向 的 安全 性 。 如 图 5. 5. 2 所 示 ,会 话 层 的 密 钥 管 
理 实际 上 是 对 一 系列 密 钥 按照 树 型 的 结构 进行 操作 。 每 个 用 户 对 应 于 一 个 叶 节点 ,拥有 并 


维护 其 所 在 的 从 叶 节 点 到 根 节点 的 一 条 路 径 。 当 用 户 事件 发 生 的 时 候 ,服务 器 更 新 密 钥 树 
上 相应 的 密 钥 ,然后 通知 用 户 更 新 他 们 的 密 钥 。 


服务 器 用 户 
会 话 层 
密 钥 管理 密 钥 更 新 
密 钥 分 发 展 | WHARA 密 钥 检测 
| ct a 
[6] 
安全 传输 层 视频 加 密 视频 解密 
网 络 0) 


图 5.5.1 MSMP 的 层次 结构 


U, U 
图 5.5.2 密 钥 管理 


在 密 钥 分 发 层 , 密 钥 更 新 消息 被 嵌入 到 视频 流 中 ,然后 组 播 给 合法 用 户 。 在 用 户 端 , 赔 
和 人 的 消息 被 检测 出 来 ,然后 发 送 到 上 层 ( 即 会 话 层 ) 进 行 处 理 。 为 了 保证 嵌入 消息 的 安全 性 ， 
携带 消息 的 视频 数据 的 传输 实际 上 是 在 安全 传输 层 中 进行 的 ,如 图 5. 5. 3 所 示 。 在 安全 传 
输 层 ,携带 了 密 钥 更 新 消息 的 视频 流通 过 选择 性 加 密 算法 进行 加 密 。 用 户 用 会 话 密 钥 解密 
然后 检测 出 密 钥 消息 。 当 所 有 用 户 完成 密 钥 更 新 以 后 ,后 来 的 视频 流 将 会 用 新 的 会 话 密 钥 
进行 加 密 。 

考虑 到 同时 会 有 多 个 用 户 加 入 或 者 退出 ,我们 将 处 理 时 间 划 分 为 若干 等 长 的 时 间 片 ,如 
图 5.5.4 所 示 。 用 户 加 入 或 者 退出 过 程 完成 一 系列 操作 需要 的 整个 时 间 称 为 会 话 周期 
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服务 器 用 户 
密 角 更 新 || 加密 me || SEEN 
oooo0o00000A Z700 0 wAn ooo oooogpoooo 
Video Video | & & Video 
Doooooooooooooooooooo o00000000000000 


图 5.5.3 安全 视频 传输 


(session period) ,该 周期 通常 由 两 个 时 间 片 组 成 。 欲 加 入 或 者 退出 的 用 户 在 第 一 个 时 间 片 
内 与 服务 器 联系 完成 认证 过 程 。 同 时 ,服务 器 修改 其 密 钥 树 并 产生 新 的 密 钥 更 新 消息 ,但 是 
并 不 立刻 启动 密 钥 更 新 过 程 。 当 第 二 个 时 间 片 到 来 时 , 密 钥 更 新 才 真正 开始 执行 ,该 过 程 完 
成 以 后 ,用 户 便 完 成 了 登录 或 者 注销 过 程 。 此 外 ,在 第 二 个 时 间 片 进行 密 钥 更 新 的 同时 , 服 
务 器 能 够 并 行 地 处 理 另 外 一 群 用 户 的 请 求 并 进行 密 钥 树 的 维护 。 这 种 方法 能 够 避免 密 钥 更 
新 过 程 频繁 地 发 生 , 同 时 又 能 够 提高 请 求 处 理 的 能 力 。 


事件 
4 


用 户 登录 /注销 | 。 密 钥 更 新 


用 户 登 录 / 注 销 密 钥 更 新 


| 
| | 
| 用 户 登 录 /注销 | ” 密 负 更新 
| | 


第 2 个 时 间 片 ， 第 3 个 时 间 片 


第 1 个 时 间 片 时 间 


图 5.5.4 时 序 图 


5.5.2 密 钥 管理 与 分 发 机 制 一 LELK 算法 


本 节 基 于 ELK 算法 提出 一 种 密 钥 管理 和 分 发 方案 , 称 为 轻 权 ELK Clight-weighted 
ELK,LELK)。 尽 管 ELK 具有 比 其 他 方案 更 短 的 密 钥 更 新 消息 ,但 其 服务 器 端的 计算 量 仍 
然 很 高 ,特别 是 在 用 户 退出 的 时 候 。 由 于 我 们 采用 的 密 钥 嵌入 算法 本 身 提 供 了 有 效 的 差错 
恢复 功能 ,因此 可 以 去 掉 ELK 中 的 暗示 机 制 以 便 降低 其 计算 负载 。 密 钥 传 输 的 可 靠 性 将 
由 密 钥 分 发 展 来 保证 。 


5521 LELK 的 结构 


LELK 基于 二 又 密 钥 树 ,扩展 了 逻辑 密 钥 层次 结构 (logical key hierarchy. LK HO 和 单 
向 函数 树 Cone-way function tree,OFT) 的 方法 ,是 一 种 高 效 而 安全 的 密 钥 分 发 系统 。 在 
LELK 中 , 密 钥 管理 服务 器 (简称 为 服务 器 或 者 server) 负 责 维护 密 钥 树 , 该 树 将 用 于 组 播 组 
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的 密 钥 更 新 。 图 5. 5. 5 是 一 个 简单 的 密 钥 树 。 


Kg 


图 5.5.5 一 棵 简单 的 密 钥 树 


最 上 层 的 节点 Ke 被 赋予 了 会 话 密 钥 ,该 密 钥 用 来 加 密 视 频 信 号 。 其 余 的 节点 都 对 应 
于 一 个 KEK(key encryption key) ,该 密 钥 用 于 加 密会 话 密 钥 或 者 其 余 的 KEK。 另 外 ,每 个 
叶 节 点 对 应 于 一 个 合法 用 户 ,或 者 说 ,每 个 合法 用 户 被 赋予 了 一 个 叶 节 点 。 而 且 , 每 个 用 户 
都 知道 他 所 在 路 径 上 的 所 有 节点 的 密 钥 。 如 图 5. 5. 5 所 示 的 例子 ,用 户 U, 掌握 了 如 下 一 
些 密 钥 : (Kc Ki ,KRs ,KKs) 。 


5522 符号 


文中 用 到 的 符号 如 下 : 

CD PRFR™” (M): 伪 随 机 函数 , 见 5. 4. 4. 1 节 中 的 定义 。 

(2) (Mig: 表示 用 密 钥 K 对 M 加 密 。 

CD | : 表示 将 两 个 序列 连接 。 

(4) K* 2 PRF£C? (D) ,K*  PRF£C? (2) ,K’=PRF (2), K'* - PRFC? (4). 

注意 到 (1) 一 (4) 代 表 了 4 个 不 同 的 常量 ,用 作 PRF 的 入 口 参数 。 这 两 个 函数 是 为 了 确 
保密 钥 的 独立 性 ,也 是 基于 安全 性 的 考虑 。 


5523 LELK 中 的 密 钥 更 新 机 制 


由 于 我 们 采用 的 密 钥 嵌入 算法 能 够 提供 密 钥 恢复 的 功能 ,因此 LELK 中 去 掉 了 ELK 
方案 中 的 暗示 机 制 。 这 使 得 LELK 具有 更 低 的 计算 负载 ,而 同样 能 够 保证 密 钥 更 新 消息 的 
传输 可 靠 性 。 

考虑 到 这 样 一 种 情况 , 若 密 钥 K 有 两 个 子 密 钥 KLUB KR ,要 更 新 K 得 到 天 ,其 更 新 过 
程 需要 两 个 子 密 钥 的 贡献 ATEH Ki 贡献 m 比特 , 右 子 密 钥 Kr 贡献 ne 比特 ,有 n= 
m n; 。 密 钥 更 新 过 程 如 式 (5. 5.1) 所 示 : 

左 子 节点 的 贡献 值 : CL = PRF CK) 

右 子 节点 的 贡献 值 : Cr = PRFRE"? (K) 

Cir = Cr | CR = PRE 7! CK) | PRE CK) 
更 新 后 的 密 钥 为 K' = PREZ” (K) 
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为 了 更 新 密 钥 玉 , 服 务 器 必须 组 播 以 下 加 密 的 密 钥 更 新 消息 : 
(PREE ™ GO). (PRE? (K) be (5. 5.2) 

很 明显 地 , 密 钥 更 新 消息 包含 了 足够 的 信息 。 考 虑 左 子 树 上 的 用 户 , 他 们 知道 Ki ,因此 
能 够 自己 计算 出 C.。 但 是 他 们 需要 Ce ,这 就 是 密 钥 更 新 消息 中 含有 {C jx 的 原因 。 同 理 ， 
右 子 树 上 的 用 户 也 需要 从 {Ci}x, EIER Ci. xU ,左右 子 树 上 的 用 户 都 得 到 了 足够 
的 计算 资料 , 即 Ct 和 Cr, 然后 通过 式 (5. 5. 1) 中 最 后 一 个 式 子 的 计算 ,就 能 得 到 新 的 密 
AK’. 

5524 用 户 加 入 


如 果 用 户 加 入 组 播 组 , 密 钥 服务 器 会 对 该 用 户 进行 认证 并 将 其 分 配 到 密 钥 树 上 的 一 个 
叶 节 点 上 。 然 后 , 密 钥 服务 器 将 会 话 密 钥 和 该 用 户 所 在 路 径 上 的 所 有 KEK 都 发 送 给 他 。 
为 了 保证 后 向 保密 性 ,新 用 户 所 得 到 的 所 有 密 钥 都 应 该 与 以 前 的 密 钥 无 关 , 应 该 是 服务 器 随 
机 生成 的 新 的 密 钥 。 密 钥 更 新 总 共有 4 个 步骤 ,如 图 5.5.6 所 示 。 


(1) 登录 


用 户 "up 


G (2) 现 有 用 户 更 新 密 钥 
mo A 


(3) 为 新 用 户 找到 合适 
的 插入 位 置 


(4) 通知 用 户 所 有 的 新 密 钥 


图 5.5.6 用 户 加 入 时 的 处 理 过 程 


(1) 新 用 户 ( 设 其 标号 为 M) 与 服务 器 联系 。 
(2) 服务 器 组 播 一 条 消息 ,告诉 所 有 在 线 用 户 更 新 其 拥有 的 密 钥 : 
Ki- PREZU (Ke), K¢= PRE,” (0), 
Ki = PREZ^" (D. 0 和 6 均 为 参量 
(3) 如 果 有 空 的 叶 节 点 ,服务 器 便 将 该 用 户 加 入 到 该 节点 上 ,生成 一 系列 新 的 密 钥 并 发 
送 给 他 。 如 果 没 有 空 叶 节点 存在 ,服务 器 将 生成 一 个 新 的 叶 节 点 Num, 并 对 其 赋予 新 密 钥 
Ky ,该 密 钥 对 应 于 用 户 M。 然 后 服务 器 选择 一 个 叶 节 点 Ni 来 插入 节点 Nw。 节 点 N; 的 选 
择 需 要 按照 如 下 规则 来 进行 : 所 选 的 节点 所 在 路 径 上 的 节点 数 最 少 。 这 样 选择 的 目的 是 为 
了 保证 密 钥 树 尽量 平衡 。 假 设 节 点 Ni 上 对 应 的 密 钥 为 玉 i) ,服务 器 首先 将 节点 Ni 下 移 , 并 
生成 一 个 新 的 父 节点 Np , 插 到 Ni 原来 的 位 置 ,而 将 节点 Nu 插入 到 Ns 之 下 ,作为 它 的 另 
三 个 子 节 点 。 其中， 


(5. 5. 3) 
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Kp = PREG (1) (5.5.4) 


然后 ,服务 器 将 节点 Ni 加 入 的 消息 通过 单 播 的 方式 告诉 相关 的 在 线 用 户 ,以 便 让 其 了 
解 正确 的 密 钥 集 。 

(4) 服务 器 将 更 新 后 的 密 钥 通过 单 播 的 方式 发 送 给 新 用 户 。 

图 5.5.7 给 出 了 用 户 Us 加 入 的 例子 。 第 1 步 ,U。 首先 与 服务 器 联系 ,服务 器 更 新 密 钥 
树 中 的 所 有 节点 。 然 后 ,服务 器 将 Ui 下 移 , 并 为 其 生成 一 个 父 节点 ,对 应 的 密 钥 为 Ks ,并 将 
Us 插入 到 Ks 之 下 ,同时 赋予 Us 一 个 新 密 钥 Ki。。 随 后 ,服务 器 通知 Un 增加 一 个 新 密 钥 
K，。 最 后 ,服务 器 将 新 密 钥 {K6, Ko Ki Ks} 发 送 给 Us。 对 于 同时 有 多 个 用 户 加 入 的 情 
况 ,服务 器 首先 会 为 这 些 加 入 的 用 户 生 成 一 个 小 的 密 钥 树 ,然后 将 这 棵 树 按照 上 面 的 方法 加 
入 到 总 的 密 钥 树 中 。 这 样 ,服务 器 只 需要 与 下 移 的 节点 对 应 的 用 户 进行 通信 ,告诉 其 位 置 变 
化 的 情况 即 可 。 


Kg Ko 


用 户 Ug 加 入 


U, U; U, Us U4 Us 
图 5.5.7 用 户 加 入 的 例子 


5525 用 户 退 出 


用 户 退 出 的 情况 处 理 起 来 要 困难 一 些 。 最 主要 的 问题 是 如 何 保证 在 更 新 会 话 密 钥 时 ， 
只 有 合法 用 户 可 以 接收 到 新 的 密 钥 ,而 退出 的 用 户 无 法 接收 。 实 际 上 ,退出 的 用 户 原来 所 掌 
握 的 密 钥 都 必须 进行 更 新 ,以 确保 系统 的 前 向 保密 性 。 密 钥 更 新 按 叶 节点 到 根 节点 从 下 往 
上 的 顺序 进行 。 当 用 户 离开 时 ,也 需要 4 个 步骤 的 操作 ,如 图 5.5. 8 所 示 。 

D 欲 离开 的 用 户 首先 与 服务 器 联系 。 

(2) 服务 器 删 掉 该 用 户 对 应 的 叶 节 点 及 其 父 节 点 ,并 将 其 兄弟 叶 节 点 上 升 至 原 父 节点 
所 在 位 置 。 然 后 服务 器 单 播 告诉 该 兄弟 节点 对 应 的 用 户 被 提升 的 消息 。 

(3) 原 路 径 上 剩 下 的 节点 对 应 的 密 钥 都 要 进行 更 新 ,更 新 顺序 从 下 到 上 。 对 于 每 个 待 
更 新 的 密 钥 K ,其 计算 过 程 是 


Ki, = PRF” (K;) (5.5.5) 
(4) 服务 器 生成 所 有 的 密 钥 更 新 消息 后 ,开始 进行 组 播 , 消 息 如 下 : 
(PRFE? (KD) > (PRET CK; ie, (5. 5. 6) 


图 5.5.9 给 出 了 用 户 Us 退出 的 例子 。 第 1 步 ,Us 首先 与 服务 器 联系 并 注销 。 然 后 , 服 
务 器 删 掉 Us 对 应 的 节点 ,并 删 掉 K。 ,同时 将 兄弟 节点 Us 提升 。 接 着 ,服务 器 计算 并 更 新 
密 钥 树 中 从 Us 到 根 节点 的 所 有 密 钥 ,并 产生 一 系列 的 密 钥 更 新 消息 。 最 后 服务 器 按 顺 序 
组 播 出 K;,K。 和 Kc 的 密 钥 更 新 消息 。 例 如 ,要 更 新 K; , 密 钥 更 新 消息 是 


(0 用 户 退 出 


剩余 用 户 


(3) 产生 密 钥 更 新 消息 
(4) 广播 消息 到 剩余 用 户 


图 5.5.8 用 户 退 出 时 的 处 理 过 程 


(PRFEZU Gu) o (PRES? Che) bt, 


(5.5. 7) 


HP Us 首先 计算 出 Cis — PRE CK.) ,然后 从 接收 到 的 {Ce ) x 中 解密 出 Ce 。 然 后 


计算 出 Cire — Ci | Cy ,最 后 得 出 K;—PRFZI (Kz). 


用 户 U; 退 出 


U, Us 
图 5.5.9 用 户 退出 的 例子 


在 同时 有 多 个 用 户 退出 的 情况 下 ,服务 器 会 逐个 修改 密 钥 树 ,但 并 不 启动 密 钥 消息 的 分 
发 过 程 。 当 这 个 时 间 片 结束 时 ,服务 器 会 根据 最 后 的 密 钥 树 生成 相应 的 密 钥 更 新 消息 ,并 组 


播 给 所 有 合法 用 户 。 
5526 可 靠 性 和 扩展 性 分 析 


在 密 钥 更 新 过 程 中 ,如 果 某 个 组 成 员 未 能 正确 地 接收 到 某 个 密 钥 更 新 消息 ,那么 他 将 无 
法 解密 后 续 的 密 钥 更 新 消息 ,从 而 无 法 完成 整个 更 新 过 程 。 针 对 这 种 情况 , 密 钥 嵌入 算法 已 
经 采用 了 双重 的 密 钥 恢复 机 制 , 包 括 RS 编码 和 元 余 GOP, 尽 最 大 努力 让 用 户 在 密 钥 更 新 过 
程 结束 之 前 收 到 正确 的 消息 。 如 果 时 间 片 结束 时 仍 有 一 些 用 户 没 有 完成 更 新 过 程 ,那么 他 


们 可 以 直接 与 服务 器 联系 ,通过 单 播 得 到 更 新 后 的 密 钥 。 


当 用 户 离开 时 , 原 路 径 上 的 所 有 密 钥 都 需要 进行 更 新 。 考 虑 一 棵 拥有 N 个 叶 节 点 的 近 
似 平衡 的 二 叉 树 ,每 一 条 路 径 上 的 节点 数 都 为 O(logN)。 而 更 新 一 个 密 钥 需 要 组 播 一 条 消 
息 。 因 此 ,组 播 次 数 也 具有 同样 的 数量 级 。 另 外 ,每 条 消息 长 度 固定 , 且 都 能 嵌入 到 一 个 图 
像 帧 内 。 根 据 以 上 这 些 特点 ,可 见 LELK 能 够 有 效 地 面 对 数量 众多 的 用 户 带 来 的 挑战 。 
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5527 ” 密 钥 更 新 消息 的 格式 


前 面 提 到 ,我 们 采用 的 密 钥 戏 入 算法 能 够 在 每 个 工 帧 内 岩 入 200 比特 的 数据 。 密 钥 更 
新 消息 就 在 这 些 数据 中 ,并 按 一 定 的 格式 存放 ,下 面 给 出 这 200 比特 数据 的 格式 : 

(1) 8 位 标志 ,表明 数据 帧 类 型 等 信息 。 

(2) 128 位 的 密 钥 更 新 消息 ,具体 格式 见 表 5. 5. 1。 

(3) 64 位 用 作 RS 编码 的 校 验 码 。 


表 5.5.1 密 钥 更 新 消息 的 具体 格式 


位 数 用 处 位 数 用 处 
20 位 密 钥 K; 的 序号 32 位 (Crt, 
20 位 Ki, (用 于 加 密 Cr ) 的 序号 32 位 {Ch} xe 
20 位 Ki, FA FIM Cog 4 位 保留 


5.5.3 实验 分 析 


在 系统 的 最 上 层 ,如 图 5. 5. 10 Br ,服务 器 对 密 钥 进行 管理 ,以 确保 用 户 动态 变化 时 的 
系统 安全 性 。 密 钥 更 新 消息 嵌入 到 视频 数据 以 后 ,再 经 过 视频 加 密 处 理 , 最 后 准备 好 的 视频 
流通 过 一 些 网 络 协议 (如 RTP 和 UDP) 组 播 出 去 。 从 前 面 几 节 的 讨论 中 我 们 可 以 知道 , 密 
钥 服 务 器 有 两 个 主要 的 职责 , 即 密 钥 管 理 和 视频 流 式 处 理 。 在 实现 过 程 中 ,我 们 将 密 钥 服 务 
器 分 为 两 个 可 信 的 节点 ,包括 一 个 视频 流 服务 器 和 一 个 网 关 , 如 图 5. 5. 11 所 示 。 


Flag | 。 密 钥 更 新 消息 RS 
8 位 128 位 64 位 
| WRA 
1 帧 
3 层 | | Flag | 密 钥 更 新 消息 RS 
结构 | | 8 位 128 位 64 位 
| 加 密 
r 帧 加 密 
Flag 密 钥 更 新 消息 RS 
8 位 128 位 64 位 


组 播 |UDP | RTP UDP | RTP UDP | RIP 
协议 | 头 ES X EH EH EH 
IP UDP | RTP IP | UDP | RTP IP | UDP | RTP 


B 5.5.10 系统 结构 
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用 户 1 用 户 2 4 " [i 
1 

B E 

m. Hm 


图 5.5.11 密 钥 服务 器 的 具体 实现 


当 用 户 事 件 ( 加 入 /退出 ) 发 生 时 ,网 关 与 该 用 户 通信 ,生成 相应 的 密 钥 更 新 消息 ,并 通过 
TCP 连接 将 这 些 消息 发 送 给 流 媒 体 服 务 器 。 流 媒体 服务 器 则 负责 实时 密 钥 骨 入 和 实时 视 
频 加 密 。 加 密 的 流 媒体 再 次 通过 另外 一 个 TCP 连接 发 送 回 网 关 , 并 由 后 者 以 组 播 的 方式 转 
发 给 所 有 的 用 户 。 采 用 这 两 个 节点 的 目的 是 为 了 将 密 钥 服 务 器 的 这 两 个 主要 功能 分 开 ,从 
而 平衡 负载 ,为 系统 的 实际 运行 提供 一 定 的 可 靠 性 。 

一 些 自 适应 的 机 制 ( 如 转 码 器 等 ) 可 以 视 为 可 信用 户 。 他 们 同样 拥有 一 些 密 钥 ,也 接受 
加 密 的 视频 信号 。 但 是 在 转 码 以 前 ,视频 数据 需要 被 解密 。 转 码 结束 以 后 采用 同样 的 会 话 
密 钥 对 视频 重新 进行 加 密 。 然 后 将 新 的 视频 信号 组 播 给 相应 的 用 户 ,如 图 5. 5. 11 所 示 的 用 
户 mr 和 nn。 这 些 用 户 同 样 要 在 网 关 那 里 注册 或 者 注销 ,但 是 其 接收 到 的 视频 数据 不 直接 来 
自 于 网 关 。 

K 5.5.2 给 出 了 在 不 同 规模 的 组 播 组 中 密 钥 更 新 实际 需要 的 时 间 。 其 中 ,path_length 
是 指 从 某 个 叶 节 点 到 根 节点 的 这 样 一 条 路 径 上 最 大 的 节点 数 。 在 一 棵 拥有 N 个 叶 节 点 的 
平衡 二 又 密 钥 树 中 , 它 满足 : 

path length = [logN l+ 2 (5.5. 8) 

假设 Teop 是 一 个 GOP(group of pictures. MRA) B & BE. 2€ UL fL 0.5 s。 当 用 户 加 
和 时 ,服务 器 会 组 播 一 条 消息 ,告诉 所 有 在 线 用户 更 新 其 掌握 的 所 有 密 钥 。 这 里 只 需要 一 次 
组 播 , 即 密 钥 更 新 实际 需 时 Tim = Toop ^0. 5 s。 当 用 户 退 出 时 ,必要 的 消息 数量 在 LlogN H1 
到 |logN H-1 之 间 ( 退 出 用 户 的 叶 节 点 不 用 更 新 ), 因 此 用 户 退 出 时 密 钥 更 新 实际 需要 时 
间 为 

(LlogN J4+-1) * Toor < Tu < (logN H- 1) * Teor (5.5.9) 

密 钥 更 新 实际 需要 的 时 间 依 赖 于 组 播 组 的 大 小 和 自 底 向 上 的 密 钥 更 新 策略 。 在 实现 
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中 ,我 们 在 第 1 个 时 间 片 内 等 待 用 户 事件 (如 5. 2 节 提 到 的 ) ,然后 在 第 2 个 时 间 片 内 启动 密 
钥 更 新 过 程 。 这 样 可 以 避免 在 用 户 事情 频繁 发 生 时 ,不 至 于 反复 地 进行 一 些 多 余 的 密 钥 更 
新 过 程 , 其 目的 在 于 提高 密 钥 更 新 的 效率 和 降低 网 络 通信 的 负载 。 

表 5.5.2 不 同 规模 的 组 播 组 实际 所 需 的 密 钥 更 新 时 间 


组 成 员 规模 路 径 长 度 加 入 所 需 时 间 /s 退出 所 需 时 间 /s 
100 9 0.5 3.7 
1000 12 0.5 5.8 
10 000 16 0.5 7.4 
100 000 19 0.5 9.0 


56 流 媒体 传输 的 差错 控制 机 制 


随 着 编码 技术 和 流 媒体 技术 的 发 展 ,多 媒体 应 用 已 经 扩展 到 了 很 多 领域 ,如 视频 会 议 、 
网 络 电视 .视频 游戏 ,远程 教育 等 。 越 来 越 多 的 用 户 开 始 接受 使 用 流 媒 体 服务 ,同时 对 服务 
质量 的 要 求 也 越 来 越 高 。 如 何 满足 日 益 增 多 的 多 媒体 用 户 的 需求 已 经 成 为 学 术 界 和 产业 界 
关注 的 热点 。 其 中 先进 的 编码 技术 和 有 效 的 数据 传输 机 制 是 对 大 规模 在 线 用 户 提供 高 质量 
流 媒体 服务 的 关键 技术 。 

本 节 首 先 介绍 MPEG-4 编码 标准 ,然后 按照 对 传输 错误 处 理 方式 的 不 同 ,介绍 视频 流 
媒体 传输 中 的 4 类 差错 控制 机 制 : 信 源 差错 控制 .信道 差 错 控制 、 信 源 信 道 联 合 编码 和 错误 
隐藏 。 


5.6.1 MPEG-4 编码 标准 


MPEG-4 是 一 种 基于 内 容 的 多 媒体 数据 压缩 编码 国际 标准 ,是 目前 使 用 广泛 而 成 熟 的 
一 种 视频 编码 标准 。 它 提供 了 一 个 通用 的 多 媒体 处 理 平 台 ,为 多 媒体 通信 的 发 展 作 出 了 卓 
越 贡献 。 目 前 MPEG-4 视频 编码 标准 已 经 取得 了 广泛 的 应 用 ,如 Internet 视 / 音 频 广播 ,无 
线 通 信 .静止 图 像 压 缩 .电子 游戏 等 。 

MPEG- 采 用 先进 的 视频 压缩 技术 ,使 视频 的 压缩 比率 较 MPEG-1 和 MPEG-2 标准 有 
了 很 大 的 提高 。 此 外 ,MPEG-4 还 提供 了 一 种 通用 的 编码 标准 ,能 够 适应 各 种 网 络 带宽 、 各 
种 图 像 大 小 、 各 种 图 像 质 量 , 为 用 户 提 供 其 需要 的 服务 ,满足 不 同 处 理 能 力 的 终端 。MPEG-4 
是 一 个 开放 的 编码 系统 ,根据 不 同 的 需要 ,可 随时 加 入 新 的 .有 效 的 算法 模块 。MPEG-4 dX 
术 已 经 广泛 地 应 用 在 如 视频 电话 、 视 频 电 子 邮件 、 移 动 通信 、 电 子 新 闻 等 多 媒体 通信 和 领域 。 
MPEG-4 已 经 突破 了 传统 产业 的 障碍 。 同 时 ,MPEG-4 在 工业 界 也 得 到 了 广泛 的 支持 ,如 
Microsoft,RealNetworks,Apple 等 主流 的 多 媒体 厂商 都 在 各 自 的 媒体 格式 中 兼容 了 对 
MPEG-4 的 支持 。 
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MPEG-4 与 MPEG 早期 版 本 有 着 很 大 的 不 同 。MPEG-4 不 只 是 具体 压缩 算法 , 它 是 针 
对 数字 电视 .交互 式 绘图 应 用 (影音 合成 内 容 ) 、 交 互 式 多 媒体 (WWW 、 资 料 搬 取 与 分 散 ) 等 
整合 及 压缩 技术 的 需求 而 制定 的 国际 标准 。MPEG-4 标准 将 众多 的 多 媒体 应 用 集成 于 一 个 
完整 的 框架 内 , 旨 在 为 多 媒体 通信 及 应 用 环境 提供 标准 的 算法 及 工具 ,从 而 建立 起 一 种 能 够 
被 多 媒体 传输 ,存储 、 检 索 等 应 用 领域 普遍 采用 的 统一 的 数据 格式 。MPEG-4 标准 支持 更 丰 
富 的 功能 ,可 以 概括 为 以 下 几 个 方面 : 

COD 基于 内 容 的 交互 性 。MPEG-4 提供 了 基于 内 容 的 多 媒体 数据 访问 工具 ,如 索引 、 超 
级 链接 、 上 下 载 .删除 等 。 利 用 这 些 工具 ,用 户 可 以 方便 地 从 多 媒体 数据 库 中 有 选择 地 获取 
自己 所 需 的 与 对 象 有 关 的 内 容 , 并 提供 了 内 容 的 操作 和 位 流 编辑 功能 ,可 应 用 于 交互 式 家 庭 
购物 、 淡 入 淡出 的 数字 化 效果 等 。MPEG-4 提供 了 高 效 的 自然 或 合成 的 多 媒体 数据 编码 方 
法 。 它 可 以 把 自然 场景 或 对 象 组 合 起 来 成 为 合成 的 多 媒体 数据 。 另 外 , MPEG-4 提供 有 效 
的 随机 存 取 方 式 ,在 一 定 的 时 间 间 隔 内 ,可 以 按 帧 或 任意 形状 的 对 象 ,对 音 ,视频 序列 进行 随 
机 存 取 ,或 以 某 个 对 象 为 目标 在 某 一 序列 进行 快速 检索 。 

(2) 高 压缩 率 。MPEG-4 基于 更 高 的 编码 效率 ,与 已 有 的 或 即将 形成 的 其 他 标准 相 比 ， 
在 相同 的 比特 率 下 , 它 基 于 更 高 的 视觉 听觉 质量 ,这 就 使 得 在 低 带 宽 的 信道 上 传送 视频 、 音 
频 成 为 可 能 。 在 同等 码 率 的 前 提 下 ,MPEG-4 标准 提供 了 更 好 的 主观 视觉 质量 的 图 像 。 
MPEG-4 还 提供 了 对 多 个 并 发 数据 流 的 编码 支持 : 能 够 对 一 景物 的 有 效 多 视角 编码 ,加 上 
多 伴音 声 道 编码 及 有 效 的 视听 同步 。 在 三 维 视频 应 用 方面 ,MPEG-4 利用 同一 景物 多 视点 
观察 的 信息 宛 余 , 进 而 有 效 地 描述 三 维 自 然 景物 。 改 进 后 的 编码 效率 和 多 分 辩 率 数据 流 编 
码 将 使 得 基于 MPEG-4 标准 的 应 用 得 到 很 好 的 发 展 。 

(3) 通用 的 存 取 。MPEG-4 是 一 个 非常 开放 的 系统 结构 ,为 了 满足 不 同 的 应 用 需求 , 它 
提供 了 大 量 .丰富 的 音频 视频 对 象 的 编码 工具 ,以 工具 包 的 形式 出 现在 标准 中 。 在 具体 实现 
时 ,可 以 根据 应 用 领域 的 不 同 ,选择 使 用 适当 的 视频 .音频 ,图形 和 场景 描述 工具 子 集 。 另 一 
方面 ,也 提高 了 编 解 码 器 的 工作 效率 。 框 架 就 是 针对 特定 的 应 用 确定 要 采用 的 编码 工具 , 它 
是 所 有 工具 集 的 一 个 子 集 。 不 同 框架 的 码 流 句 法 结构 各 不 相同 ,而 且 视 频 .音频 和 图 形 框架 
中 支持 的 对 象 类 型 各 不 相同 。 每 个 框架 下 又 包括 有 一 个 或 多 个 级 别 来 限制 计算 的 复杂 度 。 
MPEG-4 针对 不 同 的 媒体 内 容 和 场景 描述 定义 了 4 类 框架 : 视频 框架 、 音 频 框架 、 图 形 框架 
和 场景 描述 框架 。 而 且 , 选 用 不 同 框架 时 各 部 分 相互 独立 。 

MPEG-4 的 应 用 范围 非常 广泛 , 既 可 以 用 于 高 质量 的 数字 电视 ,又 可 以 应 用 于 极 低 码 率 
的 移动 多 媒体 通信 系统 。MPEG-4 编码 提供 了 抗 误 码 机 制 ,能 在 各 种 错误 易 发 (error- 
prone) 的 环境 中 使 用 良好 ,如 无 线 和 移动 网 络 , 尤 其 是 在 易 产生 严重 错误 的 低 比 特 应 用 中 。 
此 外 ,MPEG-4 提供 了 基于 内 容 的 码 率 分 配 机 制 ,通过 为 图 像 中 的 各 个 对 象 分 配 优先 级 ,对 
高 优先 级 对 象 使 用 较 高 的 空间 或 时 间 分 辩 率 表示 ,而 优先 级 低 的 对 象 分 配 较 低 的 时 间 .空间 
分 辨 率 。 基 于 内 容 的 码 率 分 配 是 MPEG-4 的 一 个 重要 特性 , 它 提 供 了 自 适应 可 用 资源 的 能 
力 。 它 允许 使 用 者 根据 当前 系统 状态 动态 地 处 理 不 同 优先 级 对 象 ,如 对 具有 最 高 优先 级 的 
对 象 以 可 接受 的 质量 显示 .次 优先 级 的 对 象 则 以 较 低 的 质量 显示 ,而 不 显示 其 余 内 容 , 从 而 
在 有 限 的 系统 资源 内 提供 更 好 的 服务 质量 。 
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基于 对 象 的 压缩 编码 是 MPEG-4 的 核心 ,实现 基于 媒体 对 象 的 可 交互 性 、 码 流 的 渐进 
传输 都 是 基于 媒体 对 象 处 理 实现 的 。 在 MPEG-4 标准 中 ,对 象 是 靠 层 结构 表达 的 。 层 结构 
是 系统 的 粘 合剂 ,在 系统 集成 中 起 着 核心 作用 。 分 层 结构 简化 了 系统 结构 ,能 够 很 好 地 封装 
底层 技术 ,规范 系统 接口 及 协调 系统 各 部 件 之 间 的 关系 。 


1. 媒体 对 象 的 树 状 分 层 结构 

为 了 实现 基于 对 象 的 编码 ,MPEG-4 引入 了 一 个 重要 概念 : 媒体 对 象 (media object, 
MO)。 它 被 定义 为 有 自然 语义 的 编码 实体 (如 行动 的 人 静止 的 背景 等 )。 媒 体 对 象 是 
MPEG-4 的 基石 ,其 组 织 形式 的 优 劣 直接 影响 到 编码 效率 .交互 性 .可 扩展 性 等 性 能 的 好 
坏 。 由 于 各 种 媒体 对 象 千差万别 ,所 以 如 何 选取 一 个 高 效 的 组 织 方 式 成 为 MO 表达 的 
关键 。 

MPEG-4 把 各 个 视频 对 象 (visual object. VO) 和 音频 对 象 (audio object. AO) f£ HA IY fH. 
隶属 关系 组 合成 复合 音 视频 对 象 (compond audio visual object, CAVO). 4&4 CAVO 按照 
场景 描述 中 的 时 空 关系 组 合成 音 、 视 频 场景 图 。 

MPEG-4 采用 分 层 树 状 结构 的 目的 是 为 了 从 MO 中 单独 分 离 出 场景 描述 信息 ,这 些 描 
述 信息 使 得 各 个 媒体 对 象 能 够 分 别 独立 地 解码 、 重 构 、 组 合 和 重 现 。 用 户 可 以 在 不 解 开 
MPEG-4 位 流 的 情况 下 ,只 用 简单 替换 就 可 以 改变 MO 的 组 合 关系 和 内 容 。 这 对 于 实现 
MPEG-4 基于 内 容 的 编辑 功能 是 非常 重要 的 。MPEG-4 通过 对 媒体 对 象 的 分 层 树 状 描 述 既 
表达 了 对 象 间 的 联系 ,又 使 对 象 间 保 持 相 对 独立 的 松 耦 合 关系 ,为 MPEG-4 实现 众多 功能 
打下 了 基础 。 当 码 流传 输 误 码 时 ,媒体 对 象 的 逻辑 独立 性 使 得 可 以 对 发 生 错误 的 媒体 对 象 
进行 丢弃 ,而 不 必 丢 奔 整 个 帧 。 这 使 得 传输 中 误 码 的 负 作 用 达到 最 小 。 


2. 码 流 的 分 层 结构 

媒体 对 象 的 分 层 树 状 结构 表达 需要 采用 层次 码 流 结构 加 以 支持 ,MPEG-4 的 码 流 结构 
如 图 5. 6.1 所 示 ,在 MPEG-4 的 自 上 而 下 的 层次 中 ,功能 由 强 到 弱 , 结 构 由 复杂 到 简单 。 由 
下 至 上 是 层 层 递 进 的 依赖 和 封装 的 关系 。 


视频 会 话 | VS, | VS, | VS, | = 
视频 对 象 [vo JL vo, | ( vo, 
视频 对 象 层 [ vot, | VOL, 
NIMM T eae N dk 
视频 对 象 平面 | vor, | vor, | vor, | … VOP, | VOP, | VOP, 


图 5.6.1 媒体 对 象 的 树 状 分 层 结构 
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CD 视频 会 话 (video session. VS) 

完整 的 视频 序列 通常 由 多 个 视频 会 话 组 成 , 它 可 以 分 解 为 多 个 视频 对 象 。MPEG-4 中 
规定 了 组 成 场景 的 4 种 标准 方式 : 把 音 、 视 频 对 象 放 在 给 定 坐 标 系 统 中 的 任意 位 置 ;把 多 个 
音 、 视 频 对 象 重新 组 成 合成 复合 音 、 视 频 对 象 ;为 了 修改 流 式 数据 音 、 视 频 对 象 的 属性 ,如 移 
动 一 个 对 象 ;交互 式 地 改变 用 户 在 场景 中 的 视点 / 听 点 。 

(2) 视频 对 象 (video object. VO) 

场景 中 的 某 个 物体 ,是 一 个 三 维 概念 ,可 以 是 任意 形状 。 这 一 层 既 表现 了 各 种 有 独立 语 
义 的 对 象 ,又 提供 了 基于 对 象 的 可 操作 性 的 最 底层 。 因 此 , 它 是 整个 MPEG-4 码 流 的 核 
心 层 。 

(3) 视频 对 象 层 (video object layer. VOL) 

VOL 分 为 基本 层 和 增强 层 : 基本 层 用 来 传输 视频 对 象 最 基本 的 信息 ;增强 层 用 来 根据 
网 络 状况 或 者 配置 进行 视频 对 象 时 域 或 者 空域 的 扩展 ,提供 更 好 的 质量 。 

(4) 视频 对 象 平 面 (video object plane. VOP) 

它 是 编码 的 基本 单位 ,与 某 个 时 刻 的 媒体 对 象 相对 应 。 为 与 MPEG-1 和 MPEG-2 fft 
容 , MPEG-4 也 包含 了 3 种 VOP: 帧 内 VOP(I-VOP) ,预测 VOP(P-VOP) 和 双向 预测 VOP 
(B-VOP) 。 


3. 分 层 编码 

图 5. 6. 2 为 MPEG-4 分 层 编码 机 制 。 分 层 编码 主要 用 于 Internet 和 无 线 网 等 窄带 的 
视频 通信 、 多 质量 视频 服务 和 多 媒体 数据 库 预览 等 服务 。 这 样 就 可 以 对 重点 对 象 采用 较 高 
的 空域 或 时 域 分 辨 率 来 编码 ,而 对 背景 之 类 的 不 那么 重要 的 对 象 采用 较 低 的 分 辨 率 来 编码 ， 
从 而 兼顾 了 图 像 质量 和 带宽 问题 。MPEG-4 提供 了 两 种 基本 的 分 层 编码 方式 : 时 域 分 层 编 
码 和 空域 分 层 编码 , 且 MPEG-4 支持 时 域 和 空域 的 混合 分 层 。 时 域 分 层 编码 是 降低 原 视频 
序列 的 帧 率 , 空 域 分 层 编 码 是 降低 原 视频 序列 的 分 辨 率 。 在 每 类 分 层 编 码 方式 中 ,视频 序列 
都 可 以 分 为 两 层 : 基本 层 (basic layer,BL) 和 增强 层 (enhance layer,EL)。 基 本 层 提供 了 视 
频 序列 的 基本 信息 ,增强 层 提供 了 视频 序列 更 高 的 分 辨 率 和 细节 ;基本 层 可 以 单独 传输 和 解 
码 ,而 增强 层 则 必须 与 基本 层 一 起 传输 和 解码 。 空 间 伸缩 性 可 以 通过 增强 层 强 化 基本 层 的 
空间 分 辩 率 来 实现 ,因此 在 对 增强 层 中 的 VOP 进行 编码 之 前 ,必须 先 对 基本 层 中 相应 的 
VOP 进行 编码 。 同 样 ,对 于 时 域 伸缩 性 ,可 以 通过 增强 层 来 增加 视频 序列 中 某 个 视频 对 象 


输入 i 增强 层 j | ,| | .| ”增强 层 j | 输出 i 
EE 解码 器 
i 
中 间 处 理 器 ?| faf MO [nemi 
i BIA i 输出 i 
输入 | 分 层 xo “| 2E = 
mama | ci 器 口 -p numm j 
输出 0 
MAR | ,| .| GEAR 
输入 0 | 编码 器 解码 器 | 输出 o 


图 5.6.2 MPEG-4 分 层 编 码 机 制 
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(video object,VO) 的 帧 率 , 使 其 与 其 余 区 域 相 比 更 为 平滑 。 网 络 拥挤 的 时 候 , MPEG-4 就 可 以 
舍弃 增强 层 而 只 传输 基本 层 , 从 而 可 以 适应 网 络 资源 情况 , 极 大 地 降低 了 用 户 等 待 的 时 间 。 
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MPEG-4 编码 标准 中 针对 视频 资源 ,引入 视频 对 象 VO 的 数据 结构 来 实现 基于 内 容 的 
表示 。VO 的 构成 依赖 于 具体 的 应 用 和 实际 系统 环境 。 在 要 求 极 低 码 率 的 信道 条 件 下 ,VO 
可 以 是 一 个 矩形 帧 ,这样 就 与 MPEG-1.H. 263 等 标准 相 兼 容 。 基 于 内 容 的 应 用 ,VO 可 能 
是 场景 中 的 某 一 个 物体 或 某 一 个 层次 ,也 可 以 是 计算 机 产生 的 二 维 或 者 三 维 图 像 。 在 
MPEG-4 中 ,VO 作为 编码 的 基本 单位 , 它 被 定义 为 画面 中 分 割 出 来 的 不 同 物体 。 每 个 VO 
由 3 类 信息 描述 : 运动 信息 、 形 状 信 息 和 纹理 信息 。 

由 于 视频 对 象 VO 以 视频 对 象 平面 VOP 的 方式 连续 出 现 , 所 以 针对 视频 对 象 编码 实 
际 上 是 对 连续 的 视频 对 象 平面 进行 编码 。MPEG-4 标准 的 视频 编码 就 是 针对 这 3 种 信息 的 
编码 技术 。 其 视频 编码 器 包含 对 VOP 的 形状 编码 .运动 补偿 和 纹理 编码 等 基本 编码 工具 。 


l. 编 解 码 器 结构 

MPEG-4 利用 复 用 的 方式 来 实现 针对 VO 的 视频 编码 ,如 图 5. 6. 3 所 示 。 首 先 ,从 原始 
的 视频 序列 中 分 割 出 VO, 再 由 编码 控制 机 制 为 不 同 的 VO 和 各 个 VO 的 3 类 信息 分 配 码 
率 ,之 后 各 个 VO 单独 编码 ,最 后 将 各 个 VO 的 码 流 复 用 成 一 个 码 流 。 其 中 ,VO 的 分 割 算 
法 并 未 在 MPEG-4 中 定义 。 随 着 相关 研究 的 发 展 ,用 户 可 以 选择 更 好 的 方法 进行 分 割 。 在 
编码 控制 和 复 用 阶段 ,可 以 加 入 用 户 的 交互 控制 或 由 智能 化 的 算法 控制 。 针 对 VO 这 一 层 
次 的 视频 编 解码 系统 ,设计 中 更 多 地 强调 各 种 VO 对 象 或 VO 内 部 各 种 数据 之 间 的 相对 独 
立 性 ,从 而 为 实现 交互 式 处 理 提供 可 能 。 


视频 对 象 输入 形状 信息 
编码 


图 5.6.3 MPEG-4 基本 视频 编码 原理 


运动 信息 | ”纹理 信息 ”| 视频 码 流 输出 
编码 编码 


MPEG-4 建立 了 相应 的 校 验 模型 (verification module, VM) 进 行 相关 的 技术 测试 。 如 
图 5.6.4 所 示 。VM 将 VO 编码 系统 进一步 细 化 ,按照 VO 的 描述 分 层 结 构 , 将 VO 分 解 成 
若干 个 VOP, 然 后 再 分 别 对 每 个 VOP 的 3 种 


信息 分 别 进行 编码 ,最 后 通过 复 用 形成 视频 压 VOP, || 

缩 码 流 。 这 样 ,一 个 具有 生命 周期 的 VO 被 划 an 

分 为 在 时 间 上 连续 的 若干 个 VOP 帧 组 成 序 VOP, || 

列 ,而 针对 VO 的 3 种 信息 的 高 效 压缩 编码 就 "T - 编码 码 流 输出 

主要 体现 在 每 个 VOP 编码 之 中 [mm 。 vex a Se 
图 5.6.5 为 一 个 MPEG-4 编码 器 的 框图 。 编码 [| 

首先 获得 一 个 VOP 的 形状 信息 ,然后 根据 形 I 

状 信息 确定 VOP 区 域 , 通 过 基于 任意 形状 的 编码 N 


运动 预测 ,形成 VOP 的 运动 信息 ;再 将 VOP 
中 的 所 有 纹理 信息 进行 编码 。 最 后 3 种 信息 5t MPEG RRR PRS SR 
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经 过 复 用 构成 VOP 视频 码 流 数据 。 相 对 于 其 他 的 视频 编码 系统 ,MPEG-4 的 VOP 编码 系统 
最 突出 的 特点 是 形状 编码 环节 的 引入 。 它 是 MPEG-4 基于 VO 编码 思想 的 集中 体现 。 而 其 运 
动 信 息 编码 和 纹理 信息 编码 则 更 多 的 是 借鉴 了 成 熟 的 压缩 编码 技术 ,并 针对 VOP 任意 形状 的 
特点 进行 适当 的 改进 ,形成 与 形状 信息 结构 的 新 的 运动 信息 和 纹理 信息 编码 技术 。 


形状 信息 M 
prag LA | 
E7773 纹理 信息 
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图 5.6.5 MPEG-4 视频 编码 器 的 平面 结构 
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2. 形状 编码 

形状 编码 作为 MPEG-4 独 有 的 技术 ,是 支持 面向 视频 对 象 编码 的 关键 所 在 。 形 状 信息 
的 高 效 而 准确 的 传递 将 关系 到 其 他 各 种 基于 对 象 编码 技术 的 实现 。 一 个 完整 的 VOP 形状 
信息 编码 应 包括 形状 信息 的 生成 形状 信息 的 表示 、 形 状 信息 的 编码 等 几 个 相关 环节 。 

MPEG-4 并 未 规定 生成 VOP 形状 的 具体 算法 ,只 是 将 其 列 入 公开 研究 的 内 容 。 由 于 
VOP 的 定义 存在 一 定 的 主观 性 ,目前 国际 上 仍 缺 乏 有 效 的 提取 算法 。 现 有 的 VOP 提取 有 
全 自动 和 半自动 两 种 。 全 自动 方案 不 需要 人 的 帮助 ,整个 提取 过 程 自动 进行 。 这 种 方案 只 
适合 于 已 知 VOP 具有 特定 信息 并 能 与 图 像 的 其 他 区 域 分 开 的 情况 ,适用 范围 较 小 。 半 自 
动 方案 又 可 分 为 两 类 ,一 类 是 重要 参数 辅助 输入 , 另 一 类 是 人 工 初 始 输入 方案 。 第 1 类 方案 
依照 人 对 序列 和 分 割 结果 的 判断 来 调整 算法 的 某 些 参数 ,在 提取 过 程 之 前 ,需要 人 工 输入 运 
动 滤波 器 和 对 象 跟 踪 器 的 有 关 人 参数 ,才能 使 结果 达到 最 佳 。 第 2 类 方案 是 通过 人 工 的 输入 
来 确定 初始 帧 VOP 的 范围 ,利用 一 些 算 法 获得 初始 帧 的 VOP ,并 在 后 继 帧 中 利用 自动 跟踪 
技术 检测 这 一 VOP 的 形变 和 运动 。 这 类 方法 的 优点 是 提取 VOP 的 边缘 比较 准确 ,但 不 适 
用 于 运动 视频 对 象 ,而 适用 于 静止 视频 对 象 ,是 目前 比较 成 熟 的 做 法 。 其 缺点 是 用 户 的 工作 
量 比较 大 ,无 法 实时 进行 。 现 有 的 校 验 模型 VM 测试 序列 中 , 均 采用 预先 确定 的 VOP 形状 
文件 来 表示 VOP 的 形状 信息 。 

视频 对 象 的 形状 信息 有 两 类 : 二 值 形状 信息 (binary shape information) 和 灰 度 形状 信 
(grayscale shape information)。 二 值 形 状 信息 只 用 0 和 1 来 表示 视频 对 象 平面 的 形状 ， 
0 表示 非 视 频 对 象 平面 区 域 ,1 表示 视频 对 象 平面 区 域 。 二 值 形状 信息 编码 采用 基于 运动 补 
偿 块 技术 ,可 以 是 无 损 或 有 损 编码 。 灰 度 形 状 信息 用 0 一 255 之 间 的 数值 来 表示 视频 对 象 平 
面 的 透明 度 ,其 中 0 表示 完全 透明 。 灰 度 形状 信息 的 引入 可 以 避免 前 景物 体 姜 加 到 背景 上 
时 ,边界 过 于 明显 和 生硬 ,形成 一 种 模糊 的 效果 。 灰 度 形状 信息 的 编码 采用 基于 块 的 运动 补 
偿 DCT 方法 ,属于 有 损 编码 。 两 种 方式 相 比 ,二 值 形 式 更 为 简单 , 灰 度 级 形式 更 有 利于 提 
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高 编码 对 象 的 主观 效果 。 

在 具体 形状 编码 上 ,MPEG-4 测试 模型 采用 基于 位 图 的 形状 编码 算法 ,对 上 述 两 种 天 
状 信息 进行 编码 。 这 有 别 于 另 一 种 重要 的 形状 编码 方法 , 即 基 于 轮廓 的 形状 编码 算法 , 它 主 
要 是 记录 形状 的 轮廓 信息 ,更 适用 于 可 塑性 较 高 的 计算 机 图 形 编码 系统 。 

MPEG-4 测试 模型 VM18. 0 中 采用 基于 块 的 运动 补偿 和 基于 块 的 上 下 文 算术 编码 
(context algorithm encoding,CAE) 对 二 值 VOP 形状 信息 进行 编码 ,其 系统 框图 如 图 5. 6. 6 
Bim. VM 在 VOP 形状 编码 上 采用 16X16 的 BAB(binary alpha block) 块 作为 基本 单位 ， 
编码 算法 首先 需要 对 具有 任意 形状 的 VOP 重新 确定 边界 。 具 体 算法 利用 一 个 边界 框 
(bounding box) 框 住 VOP, 边 框 长 宽 均 为 16 的 整数 倍 , 同 时 要 求 采 用 最 少 的 BAB 块 的 矩 
形 覆盖 住 VOP。 然 后 根据 编码 VOP 类 型 .运动 矢量 和 BAB 块 的 ACQ(accepted quality) 
函数 确定 BAB 的 类 型 。 从 而 确定 后 面 的 编码 方案 。MPEG-4 提供 了 7 种 BAB 编码 模式 ， 
编码 器 需要 从 这 些 模式 中 选取 一 种 作为 当前 BAB 的 类 型 。 
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图 5.6.6 二 值 形 状 编码 系统 框架 图 


对 于 灰 度 级 形状 信息 ,VM 则 综合 利用 了 二 值 形状 信息 编码 和 纹理 编码 技术 ,其 基本 原 
理 如 图 5. 6. 7 所 示 。 在 解码 端 ,对 CAE 编码 的 二 值 形 状 解 码 以 后 ,还 需要 进行 泛 化 
Cfeathering) ,以 产生 与 原来 相似 的 灰 度 图 。 


灰 度 形状 图 


预 处 理 成 二 值 形 状 运动 预测 得 到 纹理 图 
二 值 形状 CAE 编 码 纹理 编码 


图 5.6.7 VM 中 灰 度 级 形状 编码 原理 图 
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3. 运动 编码 

运动 编码 包括 运动 估计 和 运动 补偿 方法 , 它 是 MPEG 系列 标准 一 直 采 用 的 一 种 提高 压 
缩 效 率 和 质量 的 有 效 方法 。 其 基本 思想 是 考虑 相 邻 帧 图 像 之 间 的 相关 性 ,利用 相 邻 图 像 对 
当前 将 要 编码 的 图 像 作 预 测 , 再 将 两 者 之 间 的 差 值 进行 编码 传输 ,以 降低 码 率 "3 。 

运动 补偿 实际 上 是 对 运动 图 像 进行 压缩 时 所 使 用 的 一 种 帧 间 编 码 技术 。 由 于 运动 的 连 
续 性 ,图 像 序列 中 的 第 N 帧 图 像 内 容 的 大 部 分 可 以 看 作 是 前 面 N 一 1 帧 图 像 经 过 一 定 的 平 
移 操作 得 到 。 因 此 在 实际 的 编码 中 ,为 了 节省 编码 比特 ,并 不 传输 第 N 帧 的 全 部 数据 ,而 是 
利用 运动 估计 技术 计算 出 第 NN 帧 与 预测 帧 NS 的 差 值 A。 如 果 运 动 估计 比较 有 效 , 则 A 中 
的 概率 分 布 基本 上 在 0 附近 ,从 而 使 A 比 原始 图 像 N 的 能 量 集中 得 多 ,相应 的 编码 传输 A 
所 需要 的 比特 数 也 少 得 多 。 

在 解码 端 ,根据 预测 帧 NC 和 差 值 A, 就 可 以 基本 恢复 出 初始 的 第 NN 帧 图 像 。 这 就 是 运 
动 补偿 技术 能 够 去 除 信 源 中 时 间 元 余 度 的 本 质 所 在 。 

运动 估计 算法 是 运动 补偿 过 程 中 的 核心 算法 。 它 通常 被 归纳 为 两 大 类 ,一 类 是 像素 递 
归 算 法 ; 另 一 类 是 块 匹 配 算法 。 像 素 递 归 算 法 基于 递归 思想 ,如 果 连 续 帧 中 ,像素 数据 的 变 
化 是 因为 物体 的 移 位 引起 ,算法 就 会 沿 着 梯度 方向 在 某 个 像素 周围 的 若干 像素 作 迭 代 运 算 ， 
使 连续 的 运算 最 后 收敛 于 一 个 固定 的 运动 估计 向 量 ,从 而 预测 该 像素 的 位 移 ;而 块 匹配 则 是 
基于 当前 帧 中 一 定 大 小 的 块 ,在 当前 帧 的 前 后 帧 的 一 定 区 域内 搜索 该 像素 块 的 最 佳 匹配 块 ， 
作为 它 的 预测 块 。 对 比较 复杂 的 运动 形式 来 说 ,尽管 像素 递归 算法 的 预测 精度 比 块 匹配 算 
法 要 高 ,但 是 由 于 其 计算 量 比 块 匹 配 算法 大 得 多 ,同时 块 匹 配 算法 本 身 也 具有 较 好 的 性 能 ， 
因此 ,MPEG 标准 中 一 直 使 用 块 匹 配 算法 。 

块 匹 配 算 法 是 一 种 非常 直观 的 运动 估计 算法 ,在 MPEG 标准 中 , 它 基于 物体 平移 运动 
的 假设 来 进行 运动 估计 。 在 平移 运动 中 ,物体 上 的 每 一 点 均 有 相同 的 速度 和 方向 ,在 物体 运 
动 的 轨迹 上 ,当前 时 刻 所 处 的 位 置 是 由 前 一 时 刻 位 置 偏 移 得 到 的 。 将 块 匹配 算法 运用 到 上 
面 所 述 的 运动 补偿 原理 当中 : 当前 帧 图 像 被 分 成 二 维 8X8 像素 的 块 或 者 16X16 像素 的 宏 
块 ,假定 每 个 宏 块 内 的 像素 都 做 相等 的 平移 运动 , 则 在 其 相 邻 帧 中 相对 应 的 几何 位 置 周围 的 
一 定 范围 内 ,通过 某 种 匹配 准则 ,寻找 这 些 像素 子 块 的 最 佳 匹 配 块 。 一 旦 找到 ,就 将 最 佳 匹 
配 块 与 当前 块 的 相对 位 移 (dz ,dy) , 即 运动 向 量 编码 传输 。 

块 匹 配 算法 有 多 种 不 同 的 匹配 准则 和 运动 估计 方式 。 匹 配 准 则 不 仅 涉及 搜索 精度 ,而 
且 涉 及 搜索 速度 。 常 用 的 匹配 准则 有 归 一 化 相关 函数 准则 、 均 方 误差 准则 和 平均 绝对 差 准 
则 等 。 在 3 种 准则 中 ,平均 绝对 差 因 其 计算 量 小 和 易于 硬件 实现 的 优点 而 得 到 广泛 应 用 。 


4. 纹理 编码 

纹理 编码 的 对 象 是 帧 内 VOP 中 的 像素 值 或 帧 间 VOP 的 预测 值 。 纹 理 编码 主要 包括 
离散 余弦 变换 (discrete cosine transformation. DCT )、 量 化 .DC (direct current)/AC 
(alternating current) 系数 预测 \ 反 量化 . 反 DCT th Ag 4 3 SER. [8 5. 6. 8 显示 了 纹 
理 编码 部 分 的 结构 框图 。 

在 变换 域 编码 中 ,KLT 正 交 变换 能 够 完全 去 除 空间 区 域内 的 元 余 度 ,但 实现 复杂 度 较 
高 ,而 且 KLT 变换 基 函 数 和 区 域 图 像 内 容 有 关 。DCT 被 公认 为 变换 效果 最 接近 KLT, m 
且 其 变换 基 函 数 独 立 于 图 像 内 容 , 所 以 DCT 被 广泛 用 于 图 像 压缩 ,并 且 是 所 有 基于 变换 的 
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图 5.6.8 纹理 编码 的 结构 框架 


图 像 和 视频 压缩 国际 标准 所 选 定 的 基 函 数 。 
为 了 使 DCT 变换 的 结果 能 量 更 加 集中 ,在 DCT 变换 之 前 ,先进 行 低 通 扩充 LPE (low 
pass extrapolation) 的 块 填充 ,从 而 提高 对 任意 形状 区 域 数 据 的 编码 效率 。LPE 的 填充 分 为 
CD 计算 属于 视频 对 象 平面 内 部 区 域 R 的 像素 算术 平均 值 : 
m= Q/ND) >) fG j) (5.6.1) 


G eR 
其 中 ,NN 表示 该 块 位 于 尺 内 的 点 数 。 
(2) 将 mm 赋 给 块 内 每 个 不 在 R 中 的 像素 , 即 
fG.j—m. ER (5. 6. 2) 
CD 对 块 内 对 象 区 域 R 外 部 点 进行 滤波 操作 ,从 块 的 左上 角 开 始 沿 行 一 直到 块 的 右 下 
角 结 束 。 


fGj -LfG.j—-D-c-fG—1j4)TfGj-- DT fGT1,5]/4 6.6.3) 
填充 结束 后 , 即 可 进行 DCT 变换 。 对 于 帧 内 编码 方式 主要 采用 DCT 变换 ;而 对 于 帧 
间 编 码 方式 ,由 于 在 视频 对 象 平面 边缘 处 的 宏 块 有 些 点 不 是 视频 对 象 平面 内 部 点 ,不 需要 进 
行 编码 ,因此 为 了 减少 编码 系数 ,采用 形状 适应 DCT(shape adaptive-DCT,SA-DCT) 变 换 。 
形状 自 适应 DCT 是 VM 针对 VOP 宏 块 进行 的 一 种 自 适应 DCT 变换 。 对 于 帧 内 编码 
模式 的 VOP 边界 宏 块 ,由 于 其 内 部 部 分 像素 不 属于 该 VOP, 为 了 减少 编码 系统 ,VM 中 根 
据 形状 信息 ,将 宏 块 内 数据 进行 重组 ,使 得 像素 值 更 为 集中 。 在 VOP 重建 过 程 中 ,由 于 有 
形状 信息 的 存在 ,可 以 将 反 变换 得 到 的 重建 像素 数值 按照 水 平和 垂直 方向 移 位 ,最 后 按照 形 
状 信息 重新 定位 ,就 可 以 重建 该 VOP 内 的 数据 。 
MPEG-4 量化 环节 提供 了 两 种 不 同 的 量化 过 程 : H. 263 量化 模式 和 MPEG 量化 模式 。 
二 者 的 主要 区 别 在 于 ,MPEG 量化 模式 引入 了 非 线性 量化 矩阵 ,同时 在 亮度 和 色 度 DC 系数 
的 量化 等 级 选取 上 也 存在 一 定 的 差别 。MPEG-4 提供 可 适应 性 的 DC 预测 。DC 系数 的 预 
测 涉 及 与 当前 块 相 邻 的 前 一 个 块 和 上 边 块 的 DC 系数 量化 值 的 选择 。 这 种 DC 系数 预测 的 
选择 方法 是 基于 水 平和 垂直 方向 DC 量化 系数 的 梯度 下 降 原 则 。 如 果 AC 参数 预测 结果 比 
原 信号 的 误差 强度 更 大 , 则 可 以 禁止 AC 预测 。 然 而 对 于 每 一 块 AC 预测 使 能 和 禁止 的 切 
换 导 致 负荷 太 大 , 故 AC 预测 方式 基于 宏 块 切换 。 


5614 容错 机 制 
信道 抗 误 码 技术 是 确保 信息 有 效 传递 的 重要 手段 。 在 早期 的 视频 编码 标准 中 ,往往 只 
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是 直接 引用 信道 纠 错 编码 技术 来 实现 信道 保护 ,例如 H. 261 的 BCH 码 , 但 并 未 从 信 源 编码 
的 角度 增强 音频 、 视 频 压缩 数据 的 抗 误 码 能 力 。 随 着 多 媒体 技术 向 以 Internet 为 代表 的 交 
互 式 网 络 和 无 线 移动 网 络 方向 发 展 ,多 媒体 信息 的 传递 面临 着 传输 信道 易 受 误 码 干扰 的 问 
题 。 因 此 ,从 信道 纠 错 角 度 无 法 满足 系统 稳定 性 的 要 求 。 基 于 信 源 编码 的 抗 误 码 技术 正 逐 步 
成 为 多 媒体 压缩 编码 中 的 一 个 重要 环节 ,如 MPEG-2 中 的 可 分 级 编码 模式 ,以 及 H. 263 十 中 针 
对 不 同 信道 特点 所 引入 的 多 种 抗 误 码 编码 模式 ,都 是 在 这 一 方面 的 体现 。MPEG-4 共 提 供 
4 种 容错 工具 : 重 同 步 技 术 、 可 逆 变 长 编码 、 数 据 分 割 以 及 头 扩展 编码 "3 。 


1. 重 同步 

由 于 现 有 压缩 编码 多 采用 变 长 编码 技术 进行 统计 编码 ,在 消除 码 流 数 据 元 素 之 间 相 关 
元 余 的 同时 ,也 降低 了 码 流 数 据 抗 误 码 的 能 力 。 一 个 随机 比特 的 误 码 有 可 能 造成 解码 器 无 
法 正常 解码 ,并 且 无 法 正常 检测 下 一 个 码 字 的 起 始 位 置 ,导致 解码 器 失 步 ,使 得 解码 过 程 无 
法 继续 。 重 同步 技术 的 基本 思想 是 在 视频 码 流 中 的 一 些 特定 位 置 插入 特殊 的 同步 码 , 这 种 
码 字 在 码 表 中 具有 唯一 性 ,并 且 是 字 节 对 齐 的 。 一 旦 出 现 误 码 导致 失 步 ,解码 器 则 检测 下 一 
个 同步 码 , 跳 过 中 间 的 数据 ,从 下 一 个 同步 码 起 重新 开始 解码 。 

MPEG-4 标准 中 的 重 同步 技术 类 似 于 MPEG-2 中 的 自 适应 片 , 也 是 采用 一 种 视频 数据 
包 的 重 同 步 结 构 。 算 法 首先 在 语法 结构 上 定义 一 个 新 的 视频 包 , 将 每 帧 图 像 分 割 成 若干 个 
视频 包 。 视 频 包 由 一 个 个 完整 的 宏 块 组 成 ,并 包括 必要 的 重 同 步 解 码头 部 信息 。 每 个 视频 
包 的 长 度 基于 它 所 包含 的 比特 数 ,如 果 当 前 视频 包 中 的 比特 数 超过 了 预先 设 定 的 阔 值 ,就 在 
下 一 个 宏 块 开始 时 产生 一 个 新 的 视频 包 。MPEG-4 编码 器 通过 每 个 视频 包 的 起 始 处 插入 唯 
一 的 重 同步 码 字 来 实现 重 同步 。 如 图 5.6.9 所 示 。 此 外 ,为 了 减少 两 个 视频 包 中 的 数据 的 
相关 性 ,在 编码 的 每 个 视频 包 的 头 部 除 重 同步 标识 外 ,再 插入 两 个 额外 的 信息 : 

CD 宏 块 位 置 : 在 视频 包 中 相对 于 第 一 个 宏 块 的 绝对 宏 块 数 ; 

(2) 量化 参数 : 它 指明 视频 包 中 用 来 进行 DCT 变换 的 量化 参数 。 


重 同步 标识 | 宏 块 位 置 | 量化 参数 | 头 部 信息 ,运动 矢量 ,纹理 数据 


图 5.6.9 重 同步 方法 产生 的 视频 包 


这 种 以 实际 码 流 编码 长 度 为 标准 的 重 同步 定位 方式 ,有 别 于 传统 的 基于 空间 宏 块 数量 
的 重 同步 定位 技术 。 采 用 这 一 方式 ,可 以 使 MPEG-4 码 流 具有 周期 性 的 重 同步 标记 ,避免 
因为 图 像 内 容 不 同 或 码 率 编码 的 原因 导致 同步 标记 不 均匀 。 另 外 ,MPEG-4 还 采用 一 种 重 
同步 技术 , 即 固定 间隔 同步 技术 。 它 需要 只 有 在 码 流 允许 的 ,固定 间隔 位 置 上 的 VOP 起 始 
码 字 和 重 同步 标记 码 字 。 这 样 可 以 避免 因 误 码 而 产生 与 起 始 码 字 竞 争 的 问题 。 它 可 以 利用 
固定 间隔 的 特点 ,判断 当前 检测 的 起 始 码 字 是 码 流 中 正确 的 数据 ,还 是 因 误 码 造成 的 异常 
数据 。 


2. 数据 分 割 

为 了 有 效 地 定位 误 码 位 置 ,充分 利用 码 流 信 息 , 也 为 其 后 的 误 码 掩盖 算法 提供 条 件 ， 
MPEG-4 也 采用 了 数据 分 割 技术 。 它 将 每 个 视频 包 中 的 数据 重新 组 织 , 在 头 部 信息 和 运动 
信息 与 DCT 系数 等 纹理 信息 插入 一 个 27 比特 的 分 割 标识 ,最 后 进行 传输 。 如 图 5. 6. 10 
所 示 。 
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重 同步 标识 | 宏 块 位 置 | 量化 参数 | ”运动 矢量 和 头 部 信息 “| 分 隔 标识 | 纹理 数据 


图 5.6.10 数据 分 割 方法 


当 视 频 包 中 的 数据 出 现 错误 时 ,解码 器 可 以 分 辨 出 是 运动 数据 错误 还 是 纹理 信息 有 误 ， 
从 而 可 以 分 别 进行 处 理 。 特 别 地 , 当 误 码 被 定位 在 纹理 信息 区 域 时 ,还 可 以 利用 已 解码 的 运 
动 信息 、 结 构 响 应 的 误 码 掩盖 算法 ,实现 纹理 区 域 的 重 构 。 


3. 可 逆 变 长 编码 

如 前 所 述 ,在 易 误 码 的 信道 中 传输 压缩 视频 通常 是 变 长 编码 。 在 解码 端 ,如 果 解 码 器 检 
测 到 数据 中 的 误 码 , 它 将 失去 同步 信号 直到 下 一 个 重 同步 点 ,中 间 的 所 有 数据 全 部 舍弃 。 而 
可 道 变 长 编码 避免 了 这 个 问题 ,使 条 解码 器 通过 在 误 码 处 的 数据 反 转 ,以 更 好 地 确定 误 码 位 
置 。 可 道 变 长 编码 使 用 有 前 级 特性 的 特别 码 字 ,可 以 从 前 向 或 反 向 进行 解码 。 这 种 码 字 的 
优点 在 于 , 当 解 码 器 在 前 向 解码 时 遇 到 误 码 , 它 可 以 跳 到 下 一 个 重 同步 点 进行 反 向 解码 , 直 
到 遇 到 误 码 ,基于 两 个 误 码 的 位 置 解码 器 可 以 恢复 一 些 数据 。 


4. 头 扩展 编码 

解码 器 在 进行 比特 流 解码 时 需要 一 些 重要 的 信息 ,这些 信息 就 是 头 数据 ,这 些 数据 包括 
视频 数据 的 空间 维 数 、 解 码 相关 的 时 间 蕉 和 当前 图 像 的 编码 方式 ( 帧 内 或 帧 间 ) 等 。 由 于 信 
道 的 误 码 ,部 分 信息 可 能 被 破坏 ,这 时 解码 器 只 有 丢弃 属于 当前 视频 帧 的 所 有 数据 。 为 了 减 
少 对 这 些 数据 的 敏感 性 ,MPEG-4 引入 一 种 头 扩 展 码 (header extension code, HEC) ,在 每 一 
个 视频 包 中 ,引入 了 被 称 为 HEC 比特 的 1 比特 信息 ,如 果 设 定 了 这 个 信息 ,那么 描述 当前 
视频 帧 的 重要 头 信息 将 在 视频 包 中 反复 出 现 ,通过 对 视频 包 中 的 头 信息 与 视频 帧 中 的 头 信 
息 进 行 比较 ,解码 器 可 以 确定 视频 帧 的 头 信 息 是 否 正确 ,如 果 是 错误 的 ,解码 器 仍 能 利用 视 
频 包 中 的 头 信息 对 视频 帧 的 其 他 数据 进行 解码 。 在 MPEG-4 的 校 验 模型 中 ,通过 使 用 
HEC 减少 丢弃 的 视频 帧 的 数目 ,有 效 地 提高 了 解码 视频 的 质量 。 


5.6.2 信 源 差错 控制 编码 


高 效 的 视频 编码 算法 使 得 视频 的 流 媒 体 业务 成 为 可 能 。 为 了 实现 高 效 的 压缩 编码 , 目 
前 的 视频 编码 算法 使 用 了 运动 补偿 、 帧 间 预 测 和 变 长 编码 等 先进 技术 ,去 除了 大 量 的 元 余 信 
息 , 但 这 导致 了 视频 比特 流 对 传输 误 码 、 丢 包 的 高 度 敏感 性 。 即 使 是 一 个 误 码 也 可 能 在 一 个 
视频 帧 中 产生 大 片 错误 ,并 扩散 到 后 续 帧 。 另 一 方面 ,“ 尽 力 而 为 ”的 Internet 无 法 提供 可 靠 
的 传输 服务 ,日 益 广泛 使 用 的 无 线 网 ,移动 网 的 网 络 环境 更 是 错误 易 发 , 误 码 率 比 有 线 环境 
严重 得 多 。 因 此 ,根据 视频 编码 算法 和 信道 的 特点 ,对 传输 错误 (包括 误 码 和 丢 包 ) 进 行 差错 
控制 是 视频 通信 中 的 一 类 非常 重要 的 技术 ,也 是 近年 来 视频 通信 和 领域 的 研究 热点 。 

然而 ,Internet 通常 无 法 提供 可 靠 的 多 媒体 传输 服务 ,造成 服务 质量 的 严重 下 降 。 虽 然 
MPEG-4 视频 编码 标准 自身 提供 了 一 些 容错 编码 机 制 ,一 定 程度 上 控制 了 传输 错误 的 扩散 。 
一 个 有 效 的 错误 保护 机 制 , 将 更 好 地 保证 多 媒体 业务 的 服务 质量 。 

目前 的 信 源 差错 控制 机 制 主 要 通过 改进 码 流 结构 ,提高 视频 压缩 码 流 的 抗 差错 能 力 , 减 
少 错误 的 发 生 , 或 者 防止 错误 的 扩散 ,从 而 减 小 错误 造成 的 影响 。 主 要 的 信 源 差错 控制 机 制 
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包括 以 下 几 种 。MPEG-4 视频 编码 标准 采用 了 其 中 的 重 同 步 标 记 、 数 据 分 割 、 可 道 变 长 
编码 。 

(1) 重 同 步 标 记 

一 般 情况 下 , 当 解 码 器 过 到 误 码 时 必须 将 两 个 同步 标记 之 间 的 大 量 正确 数据 予以 丢弃 。 
如 果 在 两 个 正常 同步 标记 之 间 适 当地 加 入 特殊 的 重 同步 标记 ,解码 器 可 以 借助 这 些 标 记 重 
新 同步 ,并 大 大 减少 被 抛弃 的 正确 数据 。 

最 简单 的 重 同步 标记 是 在 视频 层次 结构 的 关键 位 置 。 这 种 方法 重 同步 标记 之 间 所 表示 
的 图 像 块 的 数目 是 固定 的 ,但 内 容 的 不 同 导致 间隔 比特 流 长 度 不 确定 。 当 该 区 域 比特 流 长 
度 比 较 长 时 , 重 同步 标记 间隔 太 远 。 为 了 解决 这 个 问题 , MPEG-4 中 设 定 了 一 个 阔 值 , 当 比 
特长 度 超 过 该 阅 值 时 强制 插入 一 个 重 同步 标记 。 这 样 可 以 保证 重 同步 标记 的 有 效 作用 范 
围 ,但 它 在 一 定 程度 上 增加 了 更 多 的 元 余 比 特 。 

(2) 数据 分 割 

数据 分 割 技术 是 将 码 流 中 不 同属 性 的 数据 (如 运动 矢量 和 DCT 系数 ) 分 开 存 放 , 以 便 
在 信道 编码 时 加 以 不 同 地 保护 ,有 利于 保护 重要 的 数据 。 MPEG-4 也 采用 了 数据 分 割 的 
方式 。 

(3) 可 道 变 长 编码 

变 长 编码 只 允许 从 正 向 对 码 字 进行 解码 ,使 得 错误 将 扩散 到 后 面 连续 的 码 字 。 可 道 变 
长 编码 允许 解码 器 对 比特 流 从 正 向 和 反 向 分 别 解析 ,能 从 两 个 方向 逼近 错误 的 位 置 ,从 而 获 
得 更 多 的 正确 数据 ,缩小 了 错误 的 影响 范围 。 

(4) 灵活 的 宏 块 排序 和 宛 余 片 

灵活 的 宏 块 排序 (flexible macro-block ordering, FMO)"*! 允许 在 码 流 的 排序 中 任意 排 
列 宏 块 的 次 序 。 其 基本 思想 是 将 相似 的 宏 块 分 散 排列 ,如 交织 条 带 或 分 散 条 带 的 形式 ,分 成 
多 个 片 ,减少 相似 数据 遭受 误 码 的 概率 。 当 遭遇 误 码 时 ,利用 邻近 的 相关 性 ,采用 掩盖 技术 
可 以 恢复 出 部 分 数据 。 从 而 提高 了 视频 流 的 鲁 棒 性 ,也 降低 了 编码 端 为 抗 误 码 而 采取 的 帧 
内 刷新 的 频率 ,减少 了 相应 的 比特 消耗 。 

宛 余 片 RSCredundant slice) 通 过 对 编码 片 增加 少量 宛 余 信 息 来 增加 码 流 的 抗 误 码 性 。 
编码 时 在 同一 比特 流 中 除 基 本 片 数据 以 外 (正常 量化 值 ) ,还 包含 了 宛 余数 据 信 息 ( 采 用 较 大 
的 量化 值 )。 当 基本 片 丢 失 时 ,可 以 利用 宛 余 片 重建 一 个 较 粗 的 图 像 。 

(5) 多 描述 编码 

多 描述 编码 (multiple description coding,MDC)555 是 将 一 个 视频 序列 编码 成 多 个 相关 
的 码 流 ,并 且 分 别 在 独立 的 信道 上 传送 。 在 接收 端 ,根据 被 正确 传输 码 流 的 不 同 , 选 择 不 同 
的 解码 恢复 方法 。 只 要 有 一 种 描述 被 正确 传送 到 接收 端 ,多 描述 解码 器 就 可 以 恢复 出 一 定 
质量 的 视频 信号 。 如 果 有 多 个 描述 被 正确 传输 , 则 视频 信号 的 恢复 质量 就 能 得 以 增强 。 为 
了 保证 从 任意 描述 可 以 恢复 出 一 定 质量 的 视频 ,每 个 描述 都 必须 包含 足够 多 的 视频 信息 。 
这 也 意味 着 多 描述 编码 方案 的 编码 效率 要 比 单 描述 编码 方案 低 许多 。 这 种 损失 换 来 的 是 对 
大 片 误 码 频 繁 出 现 环 境 下 视频 信号 的 鲁 棒 传输 。 

一 种 简单 的 多 描述 方案 的 设计 方法 是 把 相 邻 的 采样 点 分 配给 不 同 的 信道 ,形成 原始 图 
像 的 多 个 子 图 。 为 避免 突 发 的 连续 性 误 码 ,可 采用 交织 打包 的 方法 , 即 相 邻 子 图 数据 被 放 和 人 
不 同 的 非 连 续 的 数据 包 中 , 当 部 分 子 图 的 传输 受阻 时 ,可 用 插值 的 方法 利用 其 他 子 图 恢复 原 
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始 图 像 。 但 是 这 种 方法 必须 加 入 一 定 的 相关 性 信息 ,每 个 子 图 还 要 加 入 头 信息 。 这 将 进 一 
步 降 低压 缩 的 效率 。 

小 波 变 换 是 传统 傅立叶 分 析 发 展 史上 里 程 碑 式 的 进展 ,成 为 众多 学 科 共 同 关 注 的 热点 。 
它 在 时 域 和 频 域 同 时 具有 良好 的 局 部 化 性 质 ,而 且 由 于 对 高 频 成 分 采用 逐渐 精细 的 时 域 或 
空域 采样 步 长 ,从 而 可 以 聚焦 到 对 象 的 任意 细节 。 一 些 新 的 视频 图 像 编 码 标准 纷纷 采用 小 
波 变换 代替 DCT 变换 ,取得 了 很 好 的 效果 。 利 用 三 维 小 波 变 换 实现 的 可 伸缩 视频 编码 方 
法 能 够 很 好 地 解决 网 络 带 宽 和 随机 误 码 对 图 像 质量 的 影响 问题 。 


5.6.3 信道 差错 控制 编码 


信道 传输 的 差错 控制 主要 由 纠 错 编码 器 来 实现 ,其 基本 做 法 是 在 发 送 端 对 要 传输 的 数 
据 信号 按照 一 定 规则 附加 一 些 码 元 ,这 些 码 元 与 原 信息 码 元 之 间 以 某 种 确定 的 规则 约束 在 
一 起 。 在 接收 端 通过 检查 这 些 附加 码 元 与 原 信 息 码 元 之 间 的 关系 ,就 可 以 发 现 错误 和 纠正 
错误 。 它 的 任务 是 构造 出 以 最 小 多 余 度 代价 换取 最 大 的 抗 干 扰 性 能 的 “好 码 ”。 

信道 编码 性 能 指标 有 几 个 性 能 指标 : 编码 效率 ,编码 增益 、 编 码 延 时 编译 码 器 的 复杂 
度 。 图 5.6.115 描 述 了 各 种 信道 编码 方式 的 类 别 关 系 , 这 些 信道 编码 广泛 用 于 差错 控制 技 
术 。 信 和 道 差错 控制 技术 一 般 分 为 自动 请 求 重 发 (automatic repeat request, ARQ) 和 前 向 纠 
fili forward error correction,FEC) 两 种 基本 的 误 码 纠 错 技术 ,二 者 结合 起 来 形成 了 混合 纠 
错 技术 (hybrid error correction, HEC)。 


rl ute 
非 线性 码 
分 组 码 | -L 群 计数 码 | 站 奇偶 校 验 码 
ia r1 # 循 环 码 
" LI 线性 码 H THOT 汉 明 码 
" a 本 “循环 码 BCH 码 
Ml 卷 积 码 :系统 卷 积 码 1: 
ü 非 系统 卷 积 码 SEES 
码 正 交 码 
3 系统 卷 积 码 
正 M 序列 I] W-A ii 
交 
编 H s 
码 工序 列 
了 J 扩散 码 


图 5.6.11 信道 编码 分 类 树 


5631 常见 信道 纠 错 技术 


1. 分 组 码 
所 谓 分 组 码 是 把 个 信息 比特 的 序列 编 成 n 个 比特 的 码 组 ,每 个 码 组 的 n 一 k 个 校 验 位 
仅 与 本 码 组 的 个 信息 位 有 关 , 而 与 其 他 码 组 无 关 。 为 了 达到 一 定 的 纠 错 能 力 和 编码 效率 ， 
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分 组 码 的 码 组 长 度 一 般 都 比较 大 。 编 译 码 时 必须 把 整个 信息 码 组 存储 起 来 ,由 此 产生 的 译 
码 延 时 随 的 增加 而 增加 。 码 组 中 码 元 的 约束 关系 为 线性 ,一 般 用 于 纠正 无 记忆 信道 的 突 
发 错误 。 其 中 二 值 的 BCH 码 和 非 二 值 的 RS 码 是 应 用 最 广泛 的 线性 循环 分 组 码 。 

BCH(Bose Chaudhuri Hocquenghem) 码 是 循环 码 的 一 个 重要 子 类 , 它 具 有 纠 多 个 错 
误 的 能 力 , 是 目前 研究 比较 成 熟 的 一 种 纠 错 码 。 循 环 码 建立 在 严密 的 代数 学 理论 基础 上 ,而 
且 编 码 和 解码 设备 都 不 太 复杂 , 检 纠 错 能 力 较 强 , 所 以 这 种 码 得 到 了 广泛 的 应 用 。 循 环 码 最 
显著 的 特性 是 循环 性 , 即 循环 码 中 任 一 码 组 循环 一 位 仍 为 码 中 的 一 个 码 组 。 它 的 生成 多 项 
式 与 最 小 码 距 之 间 有 密切 的 关系 ,人 们 可 以 根据 所 要 求 的 纠 错 能 力 很 容易 地 构造 出 BCH 
码 , 它 们 的 译 码 器 也 容易 实现 。RS(Reed-Solomon) 码 是 一 种 非 二 值 的 BCH $9. C d fn 9 
华 域 GF(Galois field) 中 进行 运算 。RS 码 的 编码 过 程 就 是 计算 信息 码 组 多 项 式 M(z) 除 以 
校 验 码 生 成 多 项 式 GCz) 之 后 的 余数 。 

在 伽 罗 华 域 GF(2) 中 ,RSCz,,z) 的 符号 含义 如 下 : 

m: 表示 码 组 由 m 比特 组 成 ; 

n: 表示 码 组 总 长 度 ; 

k: 表示 码 组 中 的 信息 长 度 ; 

t: 表示 能 够 纠正 :个 码 组 的 错误 , 即 1 个 m 位 的 二 进 制 错误 码 组 。 
其 中 ,n 一 k= 二 2t 表示 监督 码 组 个 数 。 对 于 一 个 mm 位 的 二 进 制 错误 码 组 来 说 ,只 有 一 位 错误 
还 是 位 全 错 不 影响 错误 恢复 ,因此 RS 码 特别 适用 于 存在 突 发 错误 的 信道 。 


2. 截 短 码 

大 部 分 循环 码 都 存在 自身 的 一 种 缩短 形式 (n 一 s,k 一 s) , 称 为 截断 码 。 实 际 应 用 中 , 循 
环 码 可 能 需要 不 同 的 码 长 ,我们 可 以 从 (2m 一 1,k) 码 中 挑 出 前 s 位 为 0 的 码 组 构成 新 的 截 
短 码 ,这 种 码 的 监督 码 位 数 不 变 ,因此 纠 错 能 力 保持 不 变 , 编 码 效 率 提 高 ,但 是 没有 了 循环 
性 。 截 短 码 给 信道 编码 带 来 很 大 的 灵活 性 。 


3. 卷 积 码 

卷 积 码 属于 非 分 组 编码 ,编码 器 具有 记忆 性 ,主要 用 于 纠正 随机 错误 。 卷 积 码 是 将 & 个 
信息 比特 编 成 个 比特 ,但 入 n 通常 很 小 ,适合 以 串 行 形式 进行 传输 ,产生 的 时 延 很 小 。 
与 分 组 码 不 同 , 卷 积 码 编码 后 的 n 个 码 元 不 仅 与 当前 段 的 k 个 信息 有 关 , 还 与 前 面 的 N 一 1 
段 信息 有 关 。 因 此 编码 过 程 中 互相 关联 的 码 元 个 数 为 nN。 卷 积 码 的 纠 错 性 能 随 N 的 增加 
而 增 大 ,在 编码 器 复杂 性 相同 的 情况 下 , 卷 积 码 的 性 能 优 于 分 组 码 , 但 卷 积 码 没有 分 组 码 那 
样 严密 的 数学 分 析 手 段 。 


4. 打 孔 码 

打 孔 码 (rate-compatible punctured convolutional codes. RCPC)5 是 一 种 演变 的 卷 积 
编码 ,特点 是 编码 器 由 一 个 母 卷 积 码 编码 器 和 一 个 删除 器 组 成 ,同一 组 RCPC 编码 器 的 母 
卷 积 码 编码 器 完全 相同 , 仅 删除 器 所 使 用 的 删除 表 不 同 ,通过 删除 表 的 不 同 可 以 灵活 地 调节 
编码 码 率 , 实 现 不 同 程度 的 差错 保护 ,因此 RCPC 码 经 常 与 ARQ(automatic repeat request. 
自动 请 求 重 发 ) 配合 使 用 ,根据 ARQ 的 反馈 信息 调整 删除 表 , 实 现 差错 保护 粒度 的 自 适 应 
变化 。 
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5. Turbo 码 

当 交 织 长 度 足 够 长 时 ,Turbo 码 具 有 接近 Shannon 极限 的 优越 性 能 。 大 量 的 计算 机 仿 
真 和 不 同 码 结构 研究 表明 ,虽然 Turbo 码 译 码 复杂 度 要 大 于 传统 的 卷 积 译 码 ,并 且 有 较 大 
的 时 延 ,但 在 无 线 信 和 道 低 信 品 比 的 情况 下 ,Turbo 码 的 性 能 要 优异 得 多 。Turbo 编码 的 基本 
思想 是 两 个 交错 并 行 的 卷 积 编码 ,如 图 5. 6. 12 所 示 ,编码 器 1、2 可 为 卷 积 编码 或 者 分 组 码 ， 
同时 也 可 推广 至 多 维 。 


信息 数据 
pL H p es 
wx |_| 7 — 
Y 单元 器 
交织 器 |=| 编码 器 2 H 


图 5.6.12 Turbo 编码 框架 结构 


6. 交织 技术 

在 错误 易 发 信道 中 ,比特 差错 经 常 是 成 串 发 生 的 ,然而 信道 编码 通常 仅 在 检测 和 校正 单 
个 差错 和 较 短 的 差错 串 时 才 有 效 。 因 此 ,将 一 条 消息 中 的 相连 比特 分 散 开 , 即 一 条 消息 中 的 
相连 比特 以 非 相连 方式 被 发 送 , 能 够 很 好 地 缓解 这 个 问题 。 这 种 方法 就 是 交织 技术 。 从 本 
质 上 说 ,交织 器 的 目的 是 使 信道 传输 过 程 中 所 突 发 产生 集中 的 错误 最 大 限度 地 分 散 化 。 

交织 器 包括 规则 交织 器 .不 规则 交织 器 ,随机 交织 器 三 大 类 。 规 则 交织 器 又 称 为 分 组 交 
织 器 ,也 就 是 行 读 列 出 或 列 读 行 出 的 交织 器 ;不 规则 交织 器 目前 主要 有 对 角 交 织 器 .螺旋 交 
织 器 和 奇偶 交织 器 等 形式 。 对 角 交 织 器 和 螺旋 交织 器 都 是 采用 行 写 而 对 角 读 出 的 方式 。 

奇偶 交织 器 不 是 一 种 独立 的 交织 器 生成 方法 ,而 是 配合 删除 技术 在 交织 器 生成 时 加 上 
限制 条 件 的 一 种 方法 ,这 里 的 删除 技术 是 在 编译 码 过 程 中 将 信息 以 删除 截 短 码 的 形式 送 入 
信道 , 收 端 通 过 加 入 模拟 零 的 方式 加 以 恢复 ,这 个 过 程 降低 了 码 元 的 纠 错 能 力 ,但 却 能 提高 
编码 效率 ,Turbo 码 就 是 运用 了 这 种 交织 加 删除 器 的 技术 , 它 会 在 生成 截 短 Turbo 码 的 同 
时 每 次 分 别 将 经 由 编码 器 对 应 于 输入 的 奇数 和 偶数 信息 位 所 产生 的 宛 余 位 交替 地 送 往 信 
道 ,这 样 来 保证 信息 序列 中 的 每 一 位 均 有 对 应 的 元 余 位 通过 信道 传输 送 抵 译 码 器 。 

随机 交织 器 对 于 每 一 组 信息 序列 所 产生 的 交织 结果 是 随机 的 ,所 以 在 传输 编码 序列 的 
同时 ,在 信道 上 还 要 传输 交织 器 的 信息 ,这 不 仅 加 大 了 译 码 器 的 复杂 度 ,而 且 也 加 大 了 信道 
负载 ,所 以 现在 采用 的 随机 交织 器 都 是 伪 随 机 的 , 即 事先 经 过 随机 选择 而 生成 一 种 性 能 较 好 
的 交织 方式 ,然后 将 其 做 成 表 的 形式 存储 起 来 进行 读 取 。 


5632 自动 请 求 重 发 

在 自动 请 求 重 发 (automatic repeat request. ARQ) 机 制 中 ,发 送 端 的 数据 中 携带 一 定数 
量 的 纠 错 码 , 当 接收 端 检 测 出 错误 时 就 通过 反馈 信道 通知 发 送 端 重 发 该 码 字 ,直到 正确 接收 
为 止 。 


ARQ 的 优点 在 于 编译 码 设 备 简单 ,在 一 定 匈 余下 检 错 码 的 检 错 能 力 比 纠 错 码 的 纠 错 
能 力 要 高 得 多 ,因而 整个 系统 的 纠 错 能 力 极 强 ,可 以 获得 极 低 的 误 码 率 。 此 外 ,由 于 检 错 码 
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的 检 错 能 力 与 信道 干扰 的 变化 基本 无 关 , 使 得 这 种 系统 的 适应 性 很 强 , 特 别 适 用 于 高 误 码 率 
的 环境 。 另 一 方面 ,ARQ 需要 反馈 信道 ,适用 于 点 对 点 的 通信 ,要 求 收发 两 端 必须 相互 配 
合 、 密 切 协作 ,因此 这 种 方式 的 控制 电路 比较 复杂 。 若 信道 干扰 很 频繁 , 则 系统 经 常 处 于 重 
发 消息 的 状态 ,因此 这 种 方式 传送 消息 的 连贯 性 和 实时 性 较 差 。 在 视频 通信 中 ,通常 允许 一 
定 程 度 下 的 图 像 延 迟 ,因此 可 以 利用 反馈 信道 来 传输 出 错 信息 ,从 而 改变 编码 策略 来 提高 搞 
误 码 能 力 。 在 很 多 基于 H. 263 的 实时 视频 传输 系统 中 ,往往 通过 反馈 信息 来 控制 周期 性 的 
帧 刷新 ,每 隔 一 段 时 间 采 用 工 帧 编码 模式 来 防止 误 码 的 扩散 。 图 5. 6. 13 描述 了 ARQ 机 制 
的 系统 框架 。 


传输 错误 


响 应 


图 5.6.13 ARQ 机制 的 系统 框架 


基本 ARQ 方案 包括 停 待 式 ARQ(stop-and-wait ARQ.SAW ARQ) . 退 N 4 ARQ(go- 
back-N ARQ,GBN ARQ) 和 选择 重 传 ARQ(selective-repeat ARQ. SR ARQ) 三 种 。 一 个 
ARQ 通信 系统 性 能 的 评价 指标 包括 吞吐 效率 (单位 时 间 内 接收 系统 接收 并 传送 给 用 户 的 数 
据 组 的 平均 数 与 发 送 端 发 送 的 平均 组 数 的 比值 ) 和 可 靠 性 (通信 系统 在 规定 条 件 下 完成 信息 
正确 传输 的 能 力 ) 。 


5633 前 向 纠 错 


前 向 纠 错 (forward error correction. FEC) 方式 不 需要 反馈 信道 ,能 够 进行 一 对 多 的 组 
播 通信 ,实时 性 比较 好 ,因此 被 广泛 应 用 于 基于 IP 的 组 播 通信 ,能 够 保证 所 有 的 接收 用 户 即 
使 收 到 内 容 的 不 同 部 分 ,也 可 以 正确 地 进行 译 码 ,可 以 减少 甚至 完全 消除 接收 端 向 发 送 端 发 
送 关于 类 似 于 丢 包 的 反馈 信号 ,避免 了 建立 反 向 信道 的 麻烦 。 

经 典 信道 FEC 编码 "9 的 基本 思想 是 将 个 源 数据 包 通 过 FEC 编码 生成 疡 个 元 余数 据 
包 , 宛 余数 据 包 与 源 数据 包 一 起 组 成 包含 n= kh +h 个 数据 包 的 传输 组 。 数 据 包 以 传输 组 为 
单位 ,通过 网 络 传输 给 接收 者 。 若 发 生 丢 包 和 误 码 ,传输 组 中 的 部 分 数据 在 传输 中 会 丢失 或 
发 生 错误 ,只 要 发 生 错误 的 数据 包 小 于 或 等 于 ”一 A, 即 接收 端 只 要 接收 到 其 中 任意 & 个 数 
据 包 , 就 可 以 进行 解码 恢复 出 所 有 源 数 据 。 

FEC 通信 系统 的 优点 是 只 有 一 个 信道 ,而 且 系 统 的 传输 效率 高 ,特别 适合 于 流 媒 体 一 
类 对 实时 性 要 求 较 高 的 数据 传输 。 然 而 FEC 也 有 一 些 缺 点 : 如 果 信 道 错 误 比 特 率 高 于 
FEC 所 能 提供 的 纠 错 能 力 ,那么 FEC 编码 不 能 起 到 任何 作用 ;反之 ,如 果 错 误 比特 率 较 低 ， 
FEC 编码 的 作用 不 明显 , 当 译 码 错误 时 ,错误 的 信息 也 送 给 用 户 , 降 低 了 通信 系统 的 可 靠 
性 。 要 获得 较 高 的 系统 可 靠 性 必须 使 用 长 码 和 选用 纠 错 能 力 强 的 码 组 。 这 使 得 译 码 电路 复 
杂 化 ,造价 提高 。 
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5634 混合 纠 错 方式 


鉴于 FEC 与 ARQ 系统 各 自 的 优 缺 点 ,适当 地 把 它们 结合 起 来 ,就 构成 混合 纠 错 
(hybrid error correction, HEC) ii fa AB’. HEC 系统 的 可 靠 性 比 FEC 系统 要 高 ,传输 效 
率 也 比 ARQ 系统 高 ,因此 在 分 组 数据 交换 网 或 计算 机 通信 网 中 人 们 更 愿意 使 用 这 种 混合 
式 差错 控制 系统 。 

目前 常用 的 HEC 类 型 有 3 种, 分别 为 1 型 HEC、 卫 型 HEC 和 本 型 混合 HEC. 

I 型 HEC 系统 在 发 送 端 有 效 信息 的 基础 上 增加 具有 检 错 和 纠 错 能 力 的 完 余 码 字 ,如 
果 接 收 端 接 收 到 的 错误 码 字 可 以 被 纠正 , 则 送 给 接收 用 户 ; 和 否则 ,接收 端 发 出 重 传 请 求 ,请 求 
重 传 同样 的 码 字 ,直到 重 传 码 字 能 够 被 正确 接收 或 者 超过 重 传 的 次 数 为 止 。 

在 型 混合 HEC 系统 中 , 除 信息 比 特 I 外 采用 两 个 线性 码 : 一 个 高 速率 的 (n,k) 码 C, 
仅 用 于 检 错 ,一 个 半 速 率 可 逆 (2k,k) 码 C. ,用 于 同时 纠 错 和 检 错 。 数 据 包 第 一 次 发 送 时 只 
进行 检 错 编码 ( 即 数据 包 内 含 I 和 Co), 当 接收 端 发 现 接收 到 的 数据 包 有 错误 时 ,一 方面 将 
接收 到 的 误 码 存 储 于 寄存 器 中 , 另 一 方面 发 送 重 传 请 求 给 发 送 端 。 发 送 端 接收 到 某 一 数据 
包 的 重 传 请 求 后 将 发 送 由 I 产生 的 纠 错 码 C, ,接收 端 接收 到 C, 后 ,用 它 对 寄存 器 中 的 误 码 
进行 纠 错 。 如 果 纠 错 成 功 则 将 纠 错 后 的 数据 提交 ,如 果 不 成 功 , 则 发 送 第 二 次 重 传 请 求 。 发 
送 端的 第 二 次 重 传 可 以 重 传 原 信息 码 I, 也 可 以 重 传 一 次 校 验 码 Cu ,这 取决 于 重 传 策略 。 

亚 型 HEC £n IA HEC 的 区 别 是 , 当 数 据 发 生 错误 时 ,接收 端 不 保存 错误 数据 , 重 传 时 
发 送 端 每 次 都 会 发 送 原始 数据 I 和 相应 的 检 错 纠 错 码 。 


5.6.4 信 源 信道 联合 编码 


根据 香农 的 分 离 原理 : 信 源 编码 和 信道 编码 可 以 分 别 设 计 , 而 且 这 种 局 部 最 优 可 使 系 
统 总 体 性 能 达到 最 优 。 但 是 这 一 重要 结论 的 假设 前 提 是 : 无 论 对 于 信 源 编码 还 是 对 于 信道 
编码 ,需要 假定 可 以 容忍 无 限 长 的 延 时 , 即 允 许 编 码 块 无 限 长 ;必须 预先 掌握 传输 信道 的 统 
计 特性 。 上 述 两 条 假设 在 实时 的 通信 系统 设计 中 往往 得 不 到 满足 。 

针对 实际 应 用 中 的 特殊 性 ,人 们 提出 了 信 源 信道 联合 编码 (joint source channel 
coding,JSCC)59 技 术 。 这 是 一 种 兼顾 视频 传输 效率 和 质量 的 有 效 方法 ,目标 是 将 信道 带宽 
在 信 源 和 信道 码 率 之 间 进 行 最 优 分 配 ,使 得 端 到 端的 失真 达到 最 小 ,从 而 获得 最 佳 的 端 到 端 
传输 性 能 。 

根据 码 流 的 不 同 部 分 对 于 图 像 重建 质量 的 作用 不 同 , 采 用 不 同 的 保护 机 制 ,这 是 信 源 信道 
联合 编码 的 一 个 主要 应 用 。 例 如 ,视频 包 中 的 头 信息 是 最 重要 的 部 分 ,对 它 采 取 的 保护 最 多 ; 
运动 矢量 信息 采取 低 一 级 的 保护 ,最 后 是 对 纹理 信息 的 保护 。 这 样 的 保护 机 制 能 够 在 发 生 误 
码 的 情况 下 , 尽 可 能 地 利用 正确 信息 进行 误 码 掩盖 而 不 会 使 图 像 质量 有 过 于 严重 的 下 降 。 

分 层 编码 结合 非 对 等 错误 保护 ,可 以 构成 一 种 有 效 抗 误 码 的 信 源 /信道 联合 编码 方案 。 
在 分 级 编码 中 ,视频 信号 被 分 为 两 级 以 上 的 结构 ,基本 层 包 含 视频 信号 的 基本 信息 ,通过 它 
可 以 恢复 出 一 定 质量 的 视频 信号 ;增强 层 包 含 视频 信号 的 细节 信息 , 它 可 以 提高 视频 的 恢复 
质量 。 为 了 抵抗 信道 干扰 ,分 层 码 流 根据 重要 性 程度 的 不 同 ,采取 不 同 的 纠 错 码 技术 ,保障 
基本 层 码 流 受 损 程 度 低 , 甚 至 不 受 损 , 从 而 保证 接收 端 总 可 以 得 到 一 定 质量 的 视频 信和 号。 
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5.6.5 非 对 等 保护 


非 对 等 保护 (unequal error protection. UEP) UU 5f ns ff Jy — ftu ds n] 3 (4 56 AY fe e 77 
案 得 到 了 广泛 而 深入 的 研究 。 其 基本 思想 是 ,通过 对 重要 的 数据 作 更 多 的 保护 ,使 得 重要 的 
数据 比特 具有 更 强 的 错误 恢复 能 力 , 从 而 达到 整体 解码 最 佳 的 效果 。 非 对 等 保护 策略 主要 
有 两 个 研究 方向 : 

(1) 研究 如 何 对 信 源 编码 端 数 据 进行 等 级 性 划分 ,使 码 流 适应 不 同 网 络 状 况 的 传输 
qi. 

(2) 研究 等 级 性 划分 后 的 数据 采用 怎样 的 不 平等 保护 粒度 问题 ,如 调节 RS 45, Turbo 
码 等 信道 编码 参数 来 实施 不 平等 保护 。 

这 两 方面 的 研究 都 是 为 了 使 信 源 端 编码 后 数据 在 经 过 复杂 的 信道 环境 影响 后 ,接收 端 
解码 恢复 的 视频 图 像 质量 最 佳 。 


5.6.6 差错 隐藏 


与 数据 传输 不 同 ,视频 传输 要 求 较 高 的 实时 性 ,能 够 容忍 一 定 的 传输 错误 。 因 此 ,视频 
传输 错误 无 需 完全 恢复 ,可 以 使 用 一 些 相关 数据 来 代替 错误 数据 ,从 而 实现 误 码 隐 藏 (error 
concealment) 。 视 频 引用 中 , 误 码 隐藏 技术 利用 人 眼 的 差错 遮蔽 特性 以 及 视频 信号 的 强 相 
关 性 (如 空间 域 和 时 间 域 ) 可 以 恢复 出 人 眼 可 接受 的 视频 信号 。 换 句 话 说 , 误 码 隐藏 并 不 真 
正 消 除 误 码 ,而 是 尽 可 能 地 弥补 误 码 带 来 的 视觉 损伤 。 误 码 隐 藏 的 前 提 是 视频 解码 器 必须 
首先 检测 出 码 流 中 是 否 存 在 误 码 ,并 且 要 尽 可 能 精确 地 确定 出 误 码 位 置 。 

(1) 错误 检测 。 误 码 检测 可 在 传输 解码 层 和 视频 解码 层 进行 。 传 输 解 码 层 可 以 通过 在 
视频 数据 中 插入 检 错 / 纠 错 码 ,如 BCH 15, RS 码 Turbo 码 等 ,接收 端 可 以 检测 到 错误 并 确 
定 错误 的 位 置 。 在 视频 解码 层 , 判 断 视频 编码 标准 码 流 是 否 符合 语法 结构 是 视频 解码 层 上 
检测 误 码 的 主要 方法 。 这 类 方法 利用 视频 信号 本 身 属性 及 码 流 语法 结构 进行 误 码 检测 ,不 
会 增加 额外 的 传输 负担 。 当 解码 器 发 现 这 些 规则 遭 到 破坏 时 ,就 可 以 断定 发 生 了 误 码 。 

(2) 错误 隐藏 。 误 码 隐藏 技术 可 分 为 时 域 误 码 掩盖 和 空域 误 码 掩盖 。 时 域 误 码 掩盖 是 
基于 运动 补偿 的 时 间 预 测 , 它 利用 受 损 块 的 运动 信息 对 图 像 进行 恢复 。 为 此 ,在 MPEG-2 
标准 中 ,即使 是 采用 帧 内 编码 模式 的 图 像 块 ,也 允许 传输 相应 的 运动 矢量 ,其 目的 就 是 为 了 
有 效 恢 复 受 损 图 像 块 。 这 种 方法 的 局 限 性 在 于 必须 保证 运动 矢量 的 正确 传输 ,运动 矢量 受 
损 情况 下 就 需要 利用 空域 插值 和 时 域 插值 的 误 码 隐藏 方法 。 空 域 误 码 掩盖 方法 有 最 优 平滑 
恢复 、 凸 集 投影 法 、 最 小 化 相 邻 像素 方差 临近 像素 插值 等 。 


57 无 线 网 络 中 多 层 非 对 等 保护 的 动态 优化 组 包 策 略 


随 着 无 线 网 络 的 快速 发 展 和 Internet 中 流 媒 体 视 频 的 巨大 成 功 ,无 线 网 络 中 的 视频 服 
务 有 望 在 不 久 的 将 来 得 到 大 规模 部 署 。 但 是 ,由 于 无 线 网 络 中 有 限 的 带宽 和 错误 易 发 环境 ， 
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数据 丢 包 和 误 码 在 无 线 流 媒体 业务 中 是 不 可 避免 的 。 为 了 提高 无 线 流 媒体 业务 的 服务 质 
量 , 研 究 人 员 设 计 了 众多 的 差错 控制 算法 。 一 个 精心 设计 的 组 包 策略 不 仅 可 以 明显 地 促进 
流 媒 体 视频 抵抗 误 码 能 力 ,还 能 够 减 小 压缩 编码 的 负载 。 如 何 设计 一 个 高 效 的 抗 错误 的 组 
包 算 法 ,是 当前 流 媒体 应 用 的 一 个 备 受 关注 的 问题 。 本 节 针 对 无 线 视频 应 用 ,介绍 一 个 多 层 
非 对 等 保护 和 动态 优化 的 组 包 策略 。 

该 策略 同时 考虑 了 无 线 网 络 传输 中 的 丢 包 和 误 码 两 个 问题 ,并 尽 可 能 地 缓解 它们 所 带 
来 的 画面 失真 。 此 外 ,该 策略 还 提供 了 一 个 开放 的 框架 ,采用 不 同 的 工具 就 能 适用 于 各 种 编 
码 算法 。 多 层 非 对 等 保护 在 应 用 层 和 链 路 层 实现 ,目标 在 于 降低 丢 包 的 概率 。 同 时 ,内 容 相 
关 的 率 失真 优化 算法 可 以 最 小 化 传输 误 码 带 来 的 画面 失真 ,考虑 了 多 层 非 对 等 保护 带 来 的 
增益 。 模 拟 实验 证 明 ,与 MPEG-4 的 组 包 策略 相 比 ,该 方案 在 无 线 网 络 环境 中 能 够 显著 地 
提升 视频 质量 。 


5.7.1 策略 算法 框架 


由 于 当前 的 众多 研究 成 果 大 多 只 考虑 无 线 流 媒体 中 的 一 个 问题 ,传输 丢 包 或 者 误 码 ,或 
局 限于 某 种 编码 算法 中 和 某 种 编码 结构 中 。 部 分 研究 集中 在 如 何 减轻 丢 包 带 来 的 视频 画面 
失真 。Wu 等 人 [9 研究 了 各 种 组 包 策 略 ,并 提出 了 一 种 针对 多 媒体 比特 流 的 全 局 优化 和 次 
优化 的 组 包 算 法 。Cai 等 人 提出 了 一 种 基于 率 失真 R-DCrate-distortion) 理论 的 优化 组 包 策 
略 ,能 够 完全 消除 视频 包间 的 相关 性 ,适用 于 精细 粒度 可 缩放 Cine granularity scalability, 
FGS) ERRU ,并 引入 非 对 等 保护 (unequal error protection. UEP) 机 制 进一步 提高 了 
抗 错 误 能 力 5C5 。Chou 等 人 中 针对 通用 可 伸缩 视频 传输 提出 了 相应 的 组 包 策略 ,并 基于 率 
失真 理论 提出 了 优化 算法 。 一 种 源 自 适应 的 组 包 策 略 "* 习 使 用 了 帧 内 包 交 织 技术 和 前 向 
纠 错 编码 ,试图 降低 无 线 网 络 中 严重 丢 包 带 来 的 失真 。 

另 一 方面 ,一 些 研究 者 把 注意 力 集中 在 错误 易 发 网 络 中 的 传输 误 码 上 。Worrall55 提 
出 了 一 种 运动 - 自 适应 的 组 包 策 略 , 通 过 动态 改变 视频 包 长 度 的 算法 达到 优化 的 目的 。 另 
外 ,有 人 针对 第 三 代 移 动 网 络 3G(third generation) 提出 MPEG-4 流 媒 体 的 优化 组 包 策略 ， 
使 用 尽 可 能 小 的 视频 包 长 度 并 对 视频 包头 进行 压缩 。 一 种 率 失 真 优化 的 组 包 策略 适用 
于 错误 易 发 传输 通道 中 的 FGS Wb. 

针对 无 线 视频 应 用 ,我 们 提出 了 一 个 率 失真 优化 的 组 包 策略 , 它 具 有 以 下 特点 : 

(1) 属于 信 源 信道 联合 编码 ,无 需 反 馈 , 延 时 低 , 适 用 于 P2P 网 络 ; 

(2) 是 一 个 编码 算法 无 关 的 策略 框架 ,适用 于 各 种 视频 编码 算法 ; 

(3) 同时 提供 了 针对 传输 丢 包 和 误 码 的 抗 错 误 能 力 s 

(4) 采用 了 优先 级 分 包 策 略 和 多 层 非 对 等 保护 (multi-layer unequal error protection， 
MUEP) ,显著 地 增强 了 抗 丢 包 能 力 ; 

(5) 结合 MUEP 的 影响 ,基于 编码 内 容 使 用 率 失真 理论 进行 优化 , 尽 可 能 地 减弱 误 码 
带 来 的 图 像 失真 。 

本 节 提 出 的 优化 视频 组 包 策略 的 根本 出 发 点 是 同时 考虑 无 线 视频 应 用 中 的 传输 丢 包 和 
误 码 问题 ,从 两 个 方面 同时 对 组 包 算 法 进行 最 优化 。 主 要 包括 动态 优化 分 包 和 多 层 非 对 等 
保护 等 几 个 模块 ,其 编码 无 关 框 架 如 图 5.7. 1 所 示 。 


网 络 安全 控制 机 制 
i BE. 
码 流 输入 
一 一 人 动态 优化 分 包 | -| 优先 级 分 包 | 
! 1 ] 
| 高 优先 级 应 用 层 L 
| 数据 缓存 非 对 等 保护 
| 延迟 输出 
码 流 输 出 链 路 层 ”| [ ma 一 -一 一 数据 流 
非 对 等 保护 数据 交织 -一 .一 控制 流 
图 5.7.1 优化 组 包 策略 框架 图 


上 述 组 包 算 法 以 一 帧 视频 为 组 包 对 象 ,对 编码 后 的 视频 流 进行 组 包 处 理 ,工作 流程 
WF: 

(1) 编码 器 对 一 帧 视频 进行 编码 ,并 记录 各 编码 单元 的 内 容 信息 , 用 于 计算 该 单元 可 能 
的 面 面 失真 值 ,作为 输入 一 起 进入 动态 优化 分 包 模 块 ; 

(2) 动态 优化 分 包 模 块 结合 相应 的 内 容 信息 计算 各 编码 单元 的 出 错 概率 ,此 时 需要 综 
合 考虑 链 路 状态 和 后 续 多 层 非 对 等 保护 机 制 的 增益 ,并 利用 动态 规划 算法 计算 出 一 个 近似 
最 优 的 分 包 结 果 , 并 输出 分 包 后 的 子 视频 包 ; 

(3) 优先 级 分 包 模 块 对 优化 后 的 子 视频 包 按照 视频 数据 对 解码 过 程 的 重要 性 ,进一步 
进行 分 包 : 将 每 个 子 视频 包 分 成 一 个 高 优先 级 和 低 优先 级 包 ; 

(4) 应 用 层 非 对 等 保护 模块 对 高 优先 级 包 进行 额外 的 处 理 ,如 采用 前 向 纠 错 码 或 数据 宛 
余 方式 等 ,生成 相应 的 保护 数据 , 送 入 高 优先 级 数据 缓存 模块 ;为 了 避免 无 线 网 络 中 突 发 式 的 
丢 包 或 者 误 码 ,每 份 保护 数据 不 与 原始 数据 一 起 传输 ,而 是 强制 延迟 一 定时 间 后 与 后 续 的 原始 
数据 交织 在 一 起 传输 ;延迟 时 间 依 赖 于 缓存 区 长 度 , 同 时 应 可 根据 网 络 状态 动态 地 改变 

(5) 帧 间 数 据 交 织 模块 对 子 数据 包 重 新 组 包 , 将 相同 优先 级 的 子 数据 包 组 合成 大 的 应 
用 层 数据 包 ; 对 于 高 优先 级 数据 ,还 将 从 数据 缓存 模块 取出 前 面 某 帧 的 保护 数据 ,与 当前 帧 
的 原始 数据 交织 编码 ,最 后 添加 相应 的 流 媒体 传输 协议 头 

(6) 链 路 层 对 不 同 优先 级 的 数据 作 区 分 处 理 ,高 优先 级 数据 享有 更 好 的 传输 服务 ,如 更 
高 的 重 传 次 数 上 限 , 尽 可 能 地 保证 高 优先 级 数据 的 正确 传输 。 

以 MPEG-4 视频 编码 算法 为 例 ,详细 描述 动态 优化 视频 组 包 算法 的 具体 流程 。 表 5.7.1 
列 出 了 其 他 部 分 使 用 的 一 些 符号 。 


表 5.7.1 FSR 
符号 fi xk 符号 fi 述 
VOP, | 一 个 视频 帧 中 的 第 i 个 视频 对 象 平面 Dij | MB 损坏 导致 的 画面 失真 
VP.; | VOP: 中 的 第 j 个 视频 包 Dij, | MB 损坏 经 运动 补偿 后 导致 的 画面 失真 
MB,, | VPi; 中 第 个 宏 块 P, 传输 误 码 率 
VP | VPij; 中 的 高 优先 级 部 分 Pi; VP; y P R RIERA A h AE 
VPL; | VP PIRR IG E oF PL; VPi; 中 低 优 先 级 部 分 的 出 错 概率 
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在 MPEG-4 的 一 个 视频 帧 中 ,其 基本 的 编码 单元 是 视频 对 象 平 面 VOP(visual object 
plane) ,一 个 视频 帧 中 包含 了 多 个 连续 的 VOP, 如 图 5. 7. 2 所 示 。 通 过 基于 内 容 的 率 失真 
优化 理论 ,每 个 VOP 将 被 进一步 分 割 成 多 个 视频 包 VP (video packet), VOP; 被 分 成 & 个 
VP, BN VP;,; ,其 中 OSj<k 。 


VP io VP ia E | VP ua 


图 5.7.2 基于 内 容 的 率 失真 动态 优化 分 包 


视频 包 VP 中 的 数据 将 根据 在 解码 过 程 中 重要 性 的 不 同 被 进一步 分 成 两 部 分 : 高 优先 
级 部 分 和 低 优先 级 部 分 。 如 在 MPEG-4 编码 标准 中 ,视频 包 包 头 和 和 运动 向 量 数据 对 解码 来 
说 是 必要 的 ,该 部 分 若 损 坏 则 整个 视频 包 都 将 丢弃 。 而 纹理 数据 即使 丢失 或 者 发 生 误 码 ,也 
还 能 通过 运动 补偿 恢复 部 分 数据 。 因 此 ,视频 包头 和 运动 数据 组 成 新 的 高 优先 级 包 , 而 纹理 
数据 则 变 为 低 优先 级 包 。 如 图 5. 7. 3 所 示 ,视频 包 VP;,; 被 进一步 分 成 高 优先 级 包 VP' 和 
低 优先 级 包 PL. 


VP io VP; 15 VP i kt 
高 优先 级 包 | VPÁ VP | VP 
低 优先 级 包 | VP VPj, U| VP 


图 5.7.3 优先 级 分 包 


应 用 层 非 对 等 保护 对 VP4 生 成 相应 的 保护 数据 ,保护 数据 将 延迟 一 定 帧 数 后 与 某 帧 相 
应 VP 的 原始 数据 。 这 种 数据 交织 技术 有 利于 分 散 传输 错误 的 分 布 , 提 高 数据 恢复 的 可 能 
性 ,如 图 5.7.4 所 示 。 

然后 ,这 些 包 封装 成 实时 传输 协议 RTP(Real-time Transport Protocol)。 为 了 减 小 包 
头 的 负荷 和 削弱 RTP 包间 的 依赖 性 ,相同 优先 级 的 包 将 被 填 入 同一 个 RTP 包 , 直 到 没有 足 
够 空间 为 止 。 如 图 5. 7. 5 所 示 ,m 十 1 个 高 优先 级 视频 包 VPL; Cn <k 0S j mo BYE 
RTP 包 ,p 十 1 个 低 优先 级 视频 包 VPL; Co 0j p) HERAA RTP E. RTP 包 将 
通过 UDP-lite 和 IP 协议 进一步 封装 。 这 里 ,UDP-lite 协议 "四 可 以 用 来 将 传输 错误 的 包 发 
送 到 应 用 层 , 而 不 是 在 传输 层 简 单 地 丢弃 。 文 献 [83] 对 IP/UDP-lite/RTP 协议 头 进行 压 
缩 ,使 用 IP 隧道 机 制 5 进行 传输 。 

定理 5.7.1. 若 当前 RTP 包 剩余 空间 能 够 完全 容纳 下 一 个 视频 包 , 则 将 该 视频 包 填 人 
当前 的 RTP 包 中 。 

定理 5.7.2. 车 当前 RTP 包 剩 余 空间 不 能 完全 容纳 下 一 个 视频 包 , 假 设 在 用 该 视频 包 
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低 优先 级 包 | VP, VP) " [VE 


ves [ve e-IwEg 


E , 
VP VE VEL. 
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图 5.7.4 应 用 层 非 对 等 保护 
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图 5.7.5 链 路 层 非 对 等 保护 


填 满 当前 RTP 时 该 视频 包 将 分 布 在 mm Cm > 1) 7. RTP 包 中 ,而 重新 开始 一 个 RTP 开始 填 
和 人 该 视频 包 时 ,该 视频 包 分 步 在 n(n 1) 4 RTP 包 中 , 若 满 足 m 二 nn, 则 将 该 视频 包 填 和 人 当 
前 的 RTP 包 中 。 

接收 端 收 到 数据 包 时 , 它 首 先 检查 视频 数据 帧 的 完整 性 和 正确 性 。 若 发 现 高 优先 级 视 
频 包 丢 失 或 损坏 , 则 缓存 当前 帧 ,直到 相应 的 保护 数据 到 达 以 后 并 对 受 损 部 分 进行 纠 错 ; 若 
纠 错失 败 , 则 丢弃 该 视频 包 , 可 以 使 用 错误 隐藏 机 制 。 若 低 优先 级 数据 被 损坏 , 则 忽略 该 低 
优先 级 视频 包 ,并 使 用 运动 补偿 技术 进行 解码 。 


5.7.2 动态 优化 算法 
根据 预先 设 定 的 参数 ,组 包 算法 计算 每 个 编码 单元 (包括 高 优先 级 视频 包 和 低 优先 级 视 


频 包 ) 的 出 错 概率 ,并 动态 决定 各 个 编码 单元 的 组 合 方式 ,使 得 在 概率 统计 的 情况 下 该 视频 
帧 可 能 的 画面 失真 最 小 。 在 MPEG-4 中 ,我 们 需要 动态 决定 每 个 视频 包 VP(video packet) 
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中 宏 块 MB(macro block) 的 数量 ,并 固定 一 个 视频 帧 中 出 现 的 VP 的 数量 ,以 限制 组 包 策略 
带 来 的 负载 。 

假设 一 个 视频 帧 中 有 工 个 MB 和 MA VOP., VOP, 包含 N; ^ VP, H VPi,j 包 含 了 
Nis MB。 为 了 限制 视频 包头 带 来 的 负荷 ,我 们 限制 每 个 视频 帧 只 能 产生 N 个 VP, 则 一 
个 视频 帧 的 概率 平均 失真 可 以 由 公式 (5.7.1) 表 示 : 


M-1 Ni-! 


D= S Xx Sy ac PL x Yin) (5.7.1) 
ica je 
其 中 ， 
M-1 M-i Ni 
ÈN: = Ny SIN. =L (5.7.2) 
=o 所 jo 


包 的 出 错 概率 依赖 于 它 的 长 度 和 信道 的 误 码 率 。 Ti db. VP’; 表示 高 优先 级 数据 和 它 
的 保护 数据 同时 出 错 的 概率 。 假 定 高 优先 级 包 VPs; 及 其 保护 数据 的 长 度 分 别 为 L$; 和 
LY ,Liu 是 IP/UDP-lite/RTP 包头 的 长 度 ,Lt,; 是 低 优先 级 包 VPI,; 的 长 度 , 我 们 可 以 得 到 ，; 
Ph, = (1—(1— PM) X (1— 0 — Phat ) (5.7.3) 
PL; = (1— (0 — Put) (5. 7.4) 
另外 ,一 个 宏 块 导致 的 失真 度 可 以 由 它 的 非 零 比 特 数 来 表示 ,这 可 以 在 编码 过 程 中 很 容 
易 获 得 ,而且 只 n 
上 述 优化 问题 的 目标 是 找到 一 个 {N7 «NZ;: 01 M. 0j — N; ) 使 得 上 述 平均 失真 
E D 最 小 。 STERKE ERESIA. 我 们 采用 动态 规划 的 方法 进行 求解 ,时 间 复 
杂 度 能 够 达到 O(N XL). 


5.7.3 多 层 对 等 保护 


非 对 等 保护 在 应 用 层 和 链 路 层 实现 。 在 无 线 网 络 中 的 链 路 层 , 非 对 等 保护 可 以 通过 采 
用 不 同 的 重 传 次 数 上 限 来 实现 。 对 于 高 优先 级 的 IP/UDP-lite/RTP 包 使 用 更 高 的 重 传 次 
数 上 限 , 而 低 优先 级 包 使 用 更 高 的 重 传 次 数 上 限 ,使 得 高 优先 级 数据 能 够 以 更 大 的 成 功 概率 
传输 到 目的 地 。 

在 应 用 层 , 针 对 不 同 的 编码 算法 可 以 选用 不 同 的 工具 。 信 道 纠 错 编码 是 内 容 无 关 的 纠 
错 算法 ,适用 于 所 有 的 编码 算法 。 特 别 地 ,文献 [85] 提 出 了 一 种 适合 MPEG-4 编码 标准 的 
轻型 数据 元 余 算 法 。 它 只 对 每 个 宏 块 中 最 重要 的 少量 数据 进行 元 余 , 以 较 小 的 代价 实现 高 
效 的 高 优先 级 数据 保护 。 


5.7.4 组 包 算 法 评价 


我 们 在 MPEG-4 编码 基础 上 实现 了 一 个 组 包 策略 的 系统 原型 ,对 采用 模拟 工具 NS-2 
及 相应 的 扩展 插件 59 进行 性 能 评价 。 这 里 使 用 两 个 QCIF (quarter common intermediate 
format) 标 准 测试 序列 : Foreman 和 Suzie。 两 个 测试 序列 分 别 在 MPEG-4 标准 编码 器 和 我 
们 的 系统 原型 上 进行 编码 。 编 码 过 程 基 于 以 下 假定 : 

(1) 测试 序列 的 第 一 帧 为 帧 内 编码 (I 帧 ) ,其 余 使 用 帧 间 编码 (P 帧 ); 

(2) 工 帧 总 是 可 以 正确 地 传输 。 


网 络 安全 控制 机 制 


解码 端 采 用 了 简单 的 错误 隐藏 机 制 。 若 高 优先 级 数据 被 损坏 ,相应 的 视频 包 将 被 丢弃 ， 
并 使 用 前 一 帧 相同 位 置 的 图 像 来 蔡 代 。 若 低 优先 级 数据 即 纹理 数据 被 损坏 ,该 视频 包 将 使 
用 运动 补偿 的 方式 进行 解码 。 人 性 能 评价 主要 比较 我 们 的 组 包 策略 和 MPEG-4 标准 的 组 包 
策略 ,同时 考虑 了 丢 包 率 (packet loss rate,PLR) 和 误 码 率 (bit error rate, BER)。 下 面 的 每 
个 模拟 都 进行 30 次 并 取 平 均 结果 。 

采用 峰值 信 噪 比 (peak signal noise ratio, PSNR) 作为 解码 端 重 构图 像 的 客观 标准 。 
PSNR 的 计算 公式 如 式 (5.7.5) 和 式 (5.7.6) 所 示 : 


2 
PSNR = 10 le 223 (5.7.5) 
FN 
SMEG IY — fag» 
aed : 
MSE —À (5.7.6) 


其 中 ,w Ah APS 75 FS (5 (9 BRE ABS o SG D ERRA GD RI CS AG 是 该 像素 点 解码 
后 的 值 ,MSE 为 均 方 误 差 。 


1. 不 同 丢 包 率 下 的 性 能 评价 

当 误 码 率 BER 为 10 一 时 ,模拟 了 不 同 丢 包 率 PLR 下 两 种 组 包 策略 的 性 能 ,分 别 为 0， 
5%,10% ,20%。 两 个 测试 序列 的 相应 结果 如 图 5. 7. 6 和 图 5. 7. 7 所 示 。 当 没有 丢 包 即 丢 
包 率 为 0 时 ,相对 于 传统 方案 ,我 们 的 方案 分 别 获得 了 2.66 dB 和 2.72 dB 的 增益 。 可 见 率 
失真 优化 有 效 地 降低 了 误 码 带 来 的 画面 失真 。 另 外 ,应 用 层 的 非 对 等 保护 同样 改善 了 误 码 
带 来 的 失真 。 当 丢 包 率 增 加 时 ,两 种 组 包 策略 的 PSNR 值 都 有 所 下 降 , 但 方案 的 下 降 速率 
远 远 低 于 传统 的 方案 。 如 图 所 示 , 当 丢 包 率 为 20% 时 ,方案 分 别 能 获得 4. 22 dBCForeman) 
和 3. 05 dB(Suzie) 的 增益 。 


; 21074 
Foreman, BER=10 4 Suzie, BER=10 


35 r 一 * 一 提出 的 机 制 
一 一 提出 的 机 制 dubbed 
meg 一 一 传统 机 制 


PSNR/ dB 
D 
PSNR / dB 
m 
f 


20) 20 
150 i0 — i5 — 20 So 10 i5 — 20 
Ep /% 丢 包 率 / % 
图 5.7.6 不 同 丢 包 率 下 Foreman 图 5.7.7 不 同 丢 包 率 下 Suzie 
序列 性 能 比较 序列 性 能 比较 


2. 不 同 误 码 率 下 的 性 能 评价 

当 丢 包 率 为 5% 时 ,比较 在 不 同 的 误 码 率 下 的 性 能 , 误 码 率 分 别 为 0,10“,4X10“ 和 
1079, Æ 5. 7. 8 和 图 5.7.9 分 别 描述 了 两 个 测试 序列 的 模拟 结果 。 由 图 可 以 看 出 , 当 没 有 
误 码 时 ,本 节 方 案 的 PSNR 远 远 超过 了 传统 方案 。 这 是 因为 多 层 的 非 对 等 保护 有 效 地 减少 
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了 高 优先 级 数据 的 丢失 概率 。 误 码 率 增加 显著 加 剧 了 高 优先 级 数据 和 低 优先 级 数据 的 受 损 
概率 ,导致 视频 质量 剧烈 下 降 。 当 误 码 率 为 10 习 时 ,本 节 提 出 的 方案 比 传统 的 方案 获得 了 
2.26 dB 和 2.17 dB 的 增益 。 然 而 由 于 组 包 策略 缺乏 网 络 探 测 机 制 , 不 能 自 适应 网 络 状 况 ， 
这 可 以 作为 下 一 步 的 研究 工作 。 


Pm Foreman ,PLR=5% 26 Suzie,PLR-596 
一 * 一 提出 的 机 制 一 人 一 提出 的 机 制 
一 一 传统 机 制 一 传统 机 制 
35 35 
S 
& 30 : 
Z 2 $ 
wa a 
Ay 
20 
15 f 1 1 1 
2 4 6 8 10 a 
B (x107) ijt (x 10-4) 
图 5.7.8 不 同 误 码 率 下 Foreman 图 5.7.9 不 同 误 码 率 下 Suzie 
序列 性 能 比较 序列 的 性 能 比较 
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secure socket layer (SSL) 

self-healing group key distribution scheme (S-GKDS) 
separation of duties (SoD) 

session key (SK) 

signal noise ratio (SNR) 

spread spectrum communication 

static separation of duties (SSD) 

stream control transmission protocol (SCTP) 
survivability 

symmetric cryptosystem 

synchronized group key distribution protocol (SGKDP) 
system on chip (SoC) 


T 


traffic encryption key (TEK) 

transport layer security protocol (TLS) 
trusted computing (TC) 

Trusted Computing Group (TCG) 

Trusted Computing Platform Alliance (TCPA) 
trusted network connect (TNC) 

trusted platform module (TPM) 


tunneled transport layer security (TTLS) 
U 


unequal error protection (UEP) 
universal mobile telecommunications system (UMTS) 


usage control (UCON) 


¥ 
variable length encoding (VLE) 
variable length decoding (VLD) 
video encryption algorithm (VEA) 
visited public land mobile network (VPLMN) 
W 


wireless personal networks (WPN) 
wireless sensor networks (WSN) 


WLAN access gateway (WAG) 


英汉 对 照 术语 表 


可 扩展 组 通信 密 钥 分 发 
安全 套 接 层 

自 愈 的 组 密 钥 分 发 协议 
职责 分 离 

会 话 密 钥 

信 噪 比 

扩展 频谱 通信 

静态 职责 分 离 

流 控制 传输 协议 

可 生存 性 

对 称 密码 
同步 组 密 钥 分 发 协议 
片上 系统 


通信 和 加密 密 钥 

安全 传输 层 协 议 

可 信 计 算 

可 信和 计算 组 

可 信 计 算 平台 联盟 
可 信和 网 络 连 接 

可 信和 平台 模块 
隧道 传输 层 安全 协议 


非 对 等 保护 
通用 移动 通信 系统 
使 用 控制 


变 长 解码 
变 长 编码 
视频 加 密 算法 


受 访 公众 陆地 移动 通信 网 


无 线 个 人 网 络 
无 线 传感器 网 络 
WLAN 接 人 网 关 


